Επιτήδειοι παρασύρουν ανυποψίαστους χρήστες στην εκτέλεση τροποποιημένων εργαλείων για παιχνίδια, τα οποία διανέμονται μέσω προγραμμάτων περιήγησης και πλατφορμών συνομιλίας με σκοπό τη διασπορά ενός trojan απομακρυσμένης πρόσβασης (RAT).
Σύμφωνα με την ομάδα Microsoft Threat Intelligence, ένας κακόβουλος μηχανισμός λήψης εγκαθιστά ένα φορητό περιβάλλον Java και εκτελεί ένα αρχείο JAR με το όνομα jd-gui.jar, χρησιμοποιώντας το PowerShell και νόμιμα εργαλεία του συστήματος όπως το cmstp.exe για να αποφύγει τον εντοπισμό.
Η στρατηγική αποφυγής εντοπισμού και η επιμονή στο σύστημα
Η αλυσίδα της επίθεσης έχει σχεδιαστεί έτσι ώστε να διαγράφει τον αρχικό μηχανισμό λήψης και να ρυθμίζει εξαιρέσεις στο Microsoft Defender για τα συστατικά του RAT. Η παραμονή του κακόβουλου λογισμικού στο σύστημα επιτυγχάνεται μέσω μιας προγραμματισμένης εργασίας και ενός σεναρίου εκκίνησης των Windows με το όνομα world.vbs. Το τελικό φορτίο λειτουργεί ως πολυεργαλείο, εκτελώντας χρέη φορτωτή, προγράμματος λήψης και RAT, ενώ συνδέεται με έναν εξωτερικό διακομιστή για την εξαγωγή δεδομένων και την ανάπτυξη πρόσθετων κακόβουλων στοιχείων.
Η εμφάνιση του Steaelite RAT και οι δυνατότητές του
Η αποκάλυψη αυτή συμπίπτει με τις λεπτομέρειες που δημοσίευσε η BlackFog για μια νέα οικογένεια κακόβουλου λογισμικού με το όνομα Steaelite, η οποία διαφημίστηκε για πρώτη φορά σε εγκληματικά φόρουμ τον Νοέμβριο του 2025. Το Steaelite συνδυάζει την κλοπή δεδομένων και το ransomware σε έναν ενιαίο πίνακα ελέγχου, ενώ αναμένεται και μια μονάδα ransomware για Android.
Το εργαλείο παρέχει στους χειριστές του πλήρη έλεγχο μέσω προγράμματος περιήγησης, επιτρέποντας την εκτέλεση κώδικα, την κλοπή κωδικών πρόσβασης, τη ζωντανή παρακολούθηση μέσω κάμερας και μικροφώνου, καθώς και τη διαχείριση αρχείων.
Πρόσφατες ανακαλύψεις νέων οικογενειών κακόβουλου λογισμικού
Τις τελευταίες εβδομάδες, οι ερευνητές ασφαλείας εντόπισαν δύο ακόμη οικογένειες RAT, το DesckVB RAT και το KazakRAT, που επιτρέπουν ολοκληρωμένο απομακρυσμένο έλεγχο των μολυσμένων συστημάτων.
Το KazakRAT θεωρείται ότι αποτελεί έργο μιας ομάδας που συνδέεται με κρατικούς φορείς και στοχεύει οντότητες στο Καζακστάν και το Αφγανιστάν, στο πλαίσιο μιας συνεχιζόμενης εκστρατείας που χρονολογείται τουλάχιστον από τον Αύγουστο του 2022. Οι χρήστες συμβουλεύονται να ελέγχουν τις εξαιρέσεις του Microsoft Defender και να απομονώνουν άμεσα τα επηρεασμένα τερματικά.