fbpx

Dé specialist in computerproblemen | Bel 072-2208212 | info@zwartbeeld.nl

Cybercriminelen richten zich op opslagdiensten als Dropbox en Drive

De hackersgroep RATicate richt zijn pijlen op cloudopslagdiensten als Dropbox en Google Drive. Dat stelt Sophos op basis van onderzoek.

Sophos volgt de groep sinds begin mei, nadat het bedrijf de groep linkte aan vijf verschillende malwarecampagnes met dezelfde command and control-infrastructuur. De groep maakt gebruik van een drop remote administration tool (RAT) en andere malware om toegang te krijgen tot de computer van het slachtoffer, vandaar de naam RATicate.

RATicate gebruikte eerst NSIS-installers om de malware-payload uit te voeren op een computer, maar security-onderzoekers kunnen deze installers makkelijk analyseren. Als antwoord daarop werd de installer volgepropt met willekeurige bestanden zoals XML-data en Python-scripts.

CloudEyE

Nu heeft RATicate deze aangepaste NSIS-installers ingeruild voor een nieuwe install builder genaamd CloudEyE. De groep heeft CloudEyE eerder gebruikt om Guloader te bouwen, een nieuwe installer gebaseerd op Visual Basic 6.

Volgens Sophos is het met CloudEyE mogelijk om een tweetraps installer te bouwen. In de eerste stap wordt het systeem geïnfecteerd met de installer en in de tweede fase wordt de malware payload binnengehaald vanuit een externe URL. Hiermee kan RATicate kwaadaardige payloads inzetten op populaire cloudopslagdiensten als Dropbox of Google Drive, zonder dat dit wordt gedetecteerd door securityteams.

Malware-as-a-service

Uit verder onderzoek naar RATicate blijkt ook dat de groep een malware-as-a-service (MaaS)-model hanteert om zijn diensten en installers tegen betaling te verspreiden. Sophos vond verschillende malwarecampagnes die gelinkt konden worden aan eerdere campagnes van RATicate.

“Wat we vonden suggereerde dat RATicate optrad als MaaS, en dat externe partijen de infrastructuur van RATicate gebruikten om de malware van hun keuze uit te rollen”, schreef Sophos op een blog.

Een volledige lijst van RATicate-malware gebaseerd op CloudEyE kan je hier vinden op de GitHub-pagina van SophosLabs.

Veiligheid-laat - Zwartbeeld - helpen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Gratis verzonden en retour

Voor alle bestellingen!

Bestelling mits op voorraad

Voor 15:00 besteld, morgen in huis!

Refurbished producten

Naar eigen wens samen te stellen

100% veilige afhandeling

PayPal / MasterCard / Visa