A ResolverRAT Malware elkerüli a felismerést, és gyógyszeripari és egészségügyi cégeket érint

A ResolverRAT nevű, rejtélyes fileless kártevő egészségügyi és gyógyszeripari cégeket vesz célba phishing-alapú támadásokkal, figyelmeztet a Morphisec Labs.

Egy veszélyes új kártékony szoftver változatot fedeztek fel, melynek neve ResolverRAT, és a Morphisec Labs már használatban találta egészségügyi és gyógyszeripari szervezetek ellen világszerte irányuló célzott kibertámadásokban.

A Morphisec jelentése szerint a ResolverRAT egy távoli hozzáférésű trójai (RAT), amelyet úgy terveztek, hogy elkerülje a felderítést és az elemzést. A hagyományos kártevő szoftverekkel ellentétben a ResolverRAT teljes mértékben a memóriában fut, és nem hagy fájlokat a merevlemezen, ami sokkal nehezebbé teszi annak felderítését a hagyományos antivírus eszközökkel.

Az első fenyegetést a Morphisec ügyfelei elleni támadások során észlelték, különösen az egészségügyi iparban, a legújabb hullám pedig 2025. március 10-én történt.

A kutatók elmagyarázzák, hogy a ResolverRAT nagyon valósághű adathalász e-maileket használ több nyelven, hogy megtévessze a vállalati alkalmazottakat és rávegye őket fertőzött fájlok letöltésére. Az e-mailek jogi következményekkel, például szerzői jogi szabálysértésekkel fenyegetnek, hogy rábírják a címzetteket a kattintásra.

„Ezek a kampányok tükrözik a nagyon helyspecifikus adathalászat folyamatos trendjét” – jegyzi meg a Morphisec, magyarázva, hogy a nyelv és a témák országonkénti személyre szabása növeli annak esélyét, hogy valaki bedől a csalásnak.

Egyszer egy rendszeren belül, a ResolverRAT egy rejtett kártékony programot tölt be, egy DLL oldalbetöltésnek nevezett módszer segítségével, gyakran egy legitim alkalmazáson belül álcázva. Ez lehetővé teszi a malware számára, hogy észrevétlenül kerüljön be, anélkül, hogy riasztást váltana ki.

A malware erős titkosítási és obfuszkációs technikákat használ, hogy elrejtse valódi célját. Csak a számítógép memóriájában működik, elkerüli a normál rendszerfájlok használatát, sőt hamis tanúsítványokat is létrehoz, hogy kijátssza a biztonságos hálózati monitorozást.

A tervezésében szerepel több módszer is, amelyekkel rejtve maradhat és aktív lehet, még akkor is, ha néhányat blokkolnak. Különböző rendszer részekben telepíti magát, és forgó szerverlistát és titkosított kommunikációt használ a felismerés elkerülésére.

A Morphisec figyelmeztet, hogy a ResolverRAT részét képezi egy globális műveletnek, hasonlóságokat mutatva más ismert kibertámadásokkal. Megosztott eszközök, technikák, sőt még azonos fájlnevek is utalnak egy koordinált erőfeszítésre vagy közös erőforrásokra a fenyegetésekkel foglalkozó csoportok között.

“Ez az új kártevő programcsalád különösen veszélyes az egészségügyi és gyógyszeripari vállalatokra, mivel ők rendelkeznek érzékeny adatokkal” – mondta a Morphisec.

A ResolverRAT-szerű fenyegetések elleni küzdelem érdekében a Morphisec az Automatizált Mozgó Célpont Védelmét (AMTD) népszerűsíti, amely a legkorábbi szakaszban akadályozza meg a támadásokat azáltal, hogy folyamatosan változtatja a támadó felületet, így nehezebbé teszi a kártevők számára a célpont megtalálását.

A ResolverRAT egyértelmű példa arra, hogyan fejlődik a kifinomult kiberbűnözés – és arra, hogy miért kell mindig egy lépéssel előrébb járniuk a kritikus ágazatoknak, mint például az egészségügy.