Neptune RAT, распространяющийся через YouTube, Telegram и GitHub

Исследователи кибербезопасности из компании CYFIRMA обнаружили новый и высокоразвитый вредоносный софт, известный как Neptune RAT, который быстро распространяется по социальным платформам, таким как GitHub, Telegram и YouTube, представляя собой значительную угрозу для пользователей Windows по всему миру, как для частных лиц, так и для организаций.

Этот троян удаленного доступа (RAT), также описываемый как «Самый продвинутый RAT», оснащен набором вредоносных функций, включая крипто-клиппер, захват паролей, разрушение системы, развертывание программ-вымогателей, мониторинг рабочего стола в реальном времени и возможность отключения антивирусного программного обеспечения и т. д., что делает его крайне серьезной угрозой.

Каналы распространения и метод заражения

Согласно CYFIRMA, создатели Neptune RAT (написанного на Visual Basic .NET) сделали последнюю версию программного обеспечения доступной бесплатно на социальных платформах без исходного кода. Разработчики намеренно запутали исполняемые файлы, чтобы затруднить анализ вредоносного ПО.

Хотя разработчик представляет его как бесплатную версию и утверждает, что она предназначена для «образовательных и этичных целей», они намекают на более продвинутую, платную версию, доступную за плату, что вызывает серьезные опасения по поводу безопасности, учитывая, как оно распространяется и потенциально может быть использовано неправомерно.

Neptune RAT имеет возможность генерировать прямые команды PowerShell (используя irm и iex), что позволяет бесшовную доставку и выполнение. Он использует такие платформы, как GitHub, и API, такие как catbox.moe, для размещения вредоносных скриптов и файлов. Более того, интеграция арабских символов и эмодзи для замены оригинальных строк делает его еще труднее анализировать.

Возможности вредоносного ПО

Neptune RAT обладает несколькими опасными функциями, такими как:

Кража учетных данных: Он способен извлекать учетные данные или данные для входа из более чем 270 приложений, включая веб-браузеры, социальные сети и финансовые платформы.

Криптовалютный клиппер: Он отслеживает активность буфера обмена, чтобы обнаружить адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленниками, тем самым перенаправляя средства без ведома жертвы.

Развертывание программ-вымогателей: После активации Neptune RAT шифрует файлы на системе жертвы и требует выкуп за их освобождение, фактически удерживая данные в заложниках.

Разрушение системы: Он содержит функции, которые могут даже повредить системные компоненты, такие как Master Boot Record, делая зараженное устройство неработоспособным.

Методы уклонения: Он использует методы противодействия анализу, такие как обнаружение виртуальных машин (VM), и устанавливает несколько методов постоянства через изменения реестра и планировщик задач, чтобы обеспечить долгосрочный контроль над скомпрометированными системами.

Защитные меры

Чтобы защититься от потенциальной угрозы со стороны Neptune RAT, как частные лица, так и организации могут следовать защитным мерам, таким как избегать загрузки программного обеспечения или нажатия на ссылки из ненадежных источников, особенно на таких платформах, как GitHub, Telegram и YouTube;

Регулярно обновлять Windows и все установленные приложения, чтобы устранить известные уязвимости; использовать надежное антивирусное и антишпионское программное обеспечение, которое может обнаруживать и блокировать продвинутые угрозы.

Регулярно создавать резервные копии критически важных данных, чтобы обеспечить восстановление в случае атаки; и быть в курсе новых угроз и практиковать безопасные привычки при просмотре и загрузке.

Для получения дополнительной информации о Neptune RAT вы можете посетить сайт CYFIRMA здесь.