Хакеры используют Neptune RAT для шпионажа, кражи и очистки компьютеров жертв

Была обнаружена опасная новая версия Neptune RAT, мощного трояна-удаленного доступа (RAT), исследователями кибербезопасности из CYFIRMA. Этот вредоносный программный код может красть пароли, перехватывать транзакции с криптовалютами, шпионить за жертвами в режиме реального времени и даже уничтожать системы Windows.

Вредоносное ПО распространяется через GitHub, Telegram и YouTube, часто рекламируясь как «Самый продвинутый RAT». Атакующие используют команды PowerShell для загрузки и выполнения вредоносного ПО.

Атакующие используют вредоносный скрипт, расположенный на catbox.moe, для тихого скачивания и выполнения операций. Папка AppData жертвы получает установку Neptune RAT, которая устанавливает соединения с удаленным сервером, предоставляя злоумышленникам полный контроль над зараженными машинами.

Neptune RAT представляет собой значительную угрозу, поскольку включает в себя целый ряд возможностей. Он способен красть пароли и извлекать данные для входа из более чем 270 приложений — включая популярные веб-браузеры, такие как Chrome, Opera и Brave.

Он также функционирует как крипто-клиппер, заменяя скопированные адреса криптовалютных кошельков на собственные адреса злоумышленника для перехвата транзакций. В более экстремальных случаях он действует как вымогательское ПО, шифруя файлы и требуя за их освобождение плату в Биткоинах.

Вредоносное ПО даже может в реальном времени следить за экраном жертвы, а в случае серьезных атак может повредить Master Boot Record (MBR), делая систему незагрузочной. Он также отключает антивирусное программное обеспечение при установке, чтобы избежать обнаружения.

RAT Neptune остается незаметным благодаря методам обфускации кода. В их число входят арабский текст и эмодзи, что усложняет его анализ исследователями. Кроме того, вредоносное ПО включает в себя защиту от виртуальных машин, которая активирует процедуры выключения при обнаружении деятельности анализа.

По данным CYFIRMA, создатель вредоносного ПО, известный под именем «Mason Team», загрузил демонстрации на YouTube и предлагает бесплатную версию RAT Neptune на GitHub. Исследование сообщает, что разработчик утверждает, что он родился в Москве и в настоящее время проживает в Саудовской Аравии, а публичная активность в Discord и YouTube связана с разработкой вредоносного ПО.