Το Malware ResolverRAT Αποφεύγει την Εντοπιστική, Επηρεάζει Φαρμακευτικές και Υγειονομικές Εταιρείες

Το ResolverRAT, ένα κρυφό αρχείο χωρίς μαλάκια, στοχεύει τις εταιρείες υγείας και φαρμακευτικών προϊόντων με επιθέσεις βασισμένες σε phishing, προειδοποίησαν τα Morphisec Labs.

Μια επικίνδυνη νέα παραλλαγή κακόβουλου λογισμικού με το όνομα ResolverRAT ανακαλύφθηκε από τα Morphisec Labs, και ήδη χρησιμοποιείται σε στοχευμένες κυβερνοεπιθέσεις εναντίον οργανισμών υγείας και φαρμακευτικών εταιρειών σε όλο τον κόσμο.

Η Morphisec αναφέρει ότι το ResolverRAT είναι ένα Τρόιανο Απομακρυσμένης Πρόσβασης (RAT) που έχει σχεδιαστεί για να αποφεύγει την ανίχνευση και την ανάλυση. Αντίθετα με το παραδοσιακό κακόβουλο λογισμικό, το ResolverRAT λειτουργεί εξ ολοκλήρου στη μνήμη και δεν αφήνει αρχεία στον δίσκο, κάτι που το καθιστά πολύ πιο δύσκολο να εντοπιστεί με τα παραδοσιακά εργαλεία αντιικού.

Η απειλή εντοπίστηκε για πρώτη φορά σε επιθέσεις εναντίον πελατών της Morphisec, ειδικά στον τομέα της υγείας, με τον τελευταίο κύμα να συμβαίνει στις 10 Μαρτίου 2025.

Οι ερευνητές εξηγούν ότι το ResolverRAT χρησιμοποιεί πολύ ρεαλιστικά phishing emails σε πολλές γλώσσες για να εξαπατήσει τους εργαζόμενους σε εταιρείες να κατεβάσουν μολυσμένα αρχεία. Τα emails απειλούν με νομικές συνέπειες, όπως παραβιάσεις πνευματικών δικαιωμάτων, για να αναγκάσουν τους παραλήπτες να κάνουν κλικ.

«Αυτές οι εκστρατείες αντικατοπτρίζουν την επικρατούσα τάση του εξαιρετικά εξατομικευμένου phishing», σημειώνει η Morphisec, εξηγώντας ότι η προσαρμογή της γλώσσας και των θεμάτων ανά χώρα αυξάνει την πιθανότητα κάποιος να πέσει θύμα της απάτης.

Μόλις εισέλθει σε ένα σύστημα, το ResolverRAT φορτώνει ένα κρυφό κακόβουλο πρόγραμμα χρησιμοποιώντας μια μέθοδο που ονομάζεται DLL side-loading, συχνά αποκρυπτογραφημένη εντός μιας νόμιμης εφαρμογής. Αυτό επιτρέπει στο κακόβουλο λογισμικό να εισέλθει ανενόχλητο χωρίς να ενεργοποιεί συναγερμούς.

Το κακόβουλο λογισμικό χρησιμοποιεί ισχυρές μεθόδους κρυπτογράφησης και απόκρυψης για να κρύψει τον πραγματικό του σκοπό. Λειτουργεί μόνο στη μνήμη του υπολογιστή, αποφεύγει τη χρήση κανονικών συστημικών αρχείων και δημιουργεί ακόμη και ψεύτικα πιστοποιητικά για να παρακάμψει την ασφαλή παρακολούθηση δικτύου.

Ο σχεδιασμός του περιλαμβάνει πολλαπλούς τρόπους για να παραμείνει κρυμμένος και ενεργός, ακόμη και αν μερικοί είναι αποκλεισμένοι. Εγκαθίσταται σε διάφορα μέρη του συστήματος και χρησιμοποιεί μια περιστρεφόμενη λίστα διακομιστών και κρυπτογραφημένη επικοινωνία για να αποφύγει την ανίχνευση.

Η Morphisec προειδοποιεί ότι το ResolverRAT φαίνεται να είναι μέρος μιας παγκόσμιας επιχείρησης, με ομοιότητες σε άλλες γνωστές κυβερνοεπιθέσεις. Τα κοινά εργαλεία, τεχνικές και ακόμη και τα ίδια ονόματα αρχείων υποδηλώνουν μια συντονισμένη προσπάθεια ή κοινά πόρους μεταξύ των ομάδων απειλής.

«Αυτή η νέα οικογένεια κακόβουλου λογισμικού είναι ιδιαίτερα επικίνδυνη για τις εταιρείες υγείας και φαρμακευτικές εταιρείες λόγω των ευαίσθητων δεδομένων που διαθέτουν,» είπε η Morphisec.

Για να αντιμετωπίσει απειλές όπως το ResolverRAT, η Morphisec προωθεί την Αυτοματοποιημένη Άμυνα Κινούμενου Στόχου (AMTD), η οποία προλαμβάνει τις επιθέσεις στο πρώιμο στάδιο αλλάζοντας διαρκώς την επιφάνεια επίθεσης, καθιστώντας έτσι δυσκολότερο για το κακόβουλο λογισμικό να βρει έναν στόχο.

Το ResolverRAT είναι ένα σαφές παράδειγμα του πώς εξελίσσεται η εξειδικευμένη κυβερνοέγκλημα – και γιατί κρίσιμοι τομείς όπως η υγεία πρέπει να παραμείνουν ένα βήμα μπροστά.