Malware-ът ResolverRAT избягва откриване и засяга фармацевтични и здравни компании

ResolverRAT, стелт малуер без файлове, насочва атаките си към здравната и фармацевтична индустрия чрез атаки, базирани на фишинг, предупреди Morphisec Labs.

Бе обнаружен опасен нов вариант на зловреден софтуер, наречен ResolverRAT, от Morphisec Labs, и вече се използва в насочени кибератаки срещу здравни и фармацевтични организации по целия свят.

Morphisec съобщава, че ResolverRAT е Троянски конь за отдалечен достъп (RAT), който е създаден да избягва откриване и анализ. За разлика от традиционните зловредни програми, ResolverRAT работи изцяло в паметта и не оставя файлове на диска, което го прави много по-труден за откриване с помощта на традиционни антивирусни инструменти.

Заплахата е била първоначално открита в атаки срещу клиентите на Morphisec, конкретно в здравеопазването, с последната вълна, която се случи на 10 март 2025 г.

Изследователите обясняват, че ResolverRAT използва много реалистични фишинг имейли на няколко езика, за да заблуди служителите в корпорациите да свалят заразени файлове. Имейлите заплашват с правни последствия като нарушения на авторските права, за да накарат получателите да кликнат.

„Тези кампании отразяват текущата тенденция на силно локализирания фишинг“, забелязва Morphisec, обяснявайки, че адаптирането на езика и темите според страната увеличава шанса някой да падне в капана на измамата.

Веднъж проникнала в системата, ResolverRAT зарежда скрита злонамерена програма, използвайки метод наречен DLL side-loading, често маскиран в легитимно приложение. Това позволява на злонамерения софтуер да проникне без да задейства аларми.

Малуерът използва силна криптираност и техники за замъгляване, за да скрие истинската си цел. Той работи само в паметта на компютъра, избягва използването на нормални системни файлове и дори създава фалшиви сертификати, за да заобиколи сигурното мониторинг на мрежата.

Дизайнът му включва множество методи за оставане скрит и активен, дори ако някои са блокирани. Инсталира се в различни части на системата и използва ротиращ списък със сървъри и криптирана комуникация, за да избегне откриването.

Morphisec предупреждава, че ResolverRAT изглежда е част от глобална операция, с подобия на други известни кибератаки. Споделени инструменти, техники и дори идентични имена на файлове предполагат координирано усилие или споделени ресурси сред групи, които представляват заплаха.

„Това ново семейство от зловреден софтуер е особено опасно за здравните и фармацевтичните компании, поради чувствителните данни, които притежават“, каза Morphisec.

За да се бори срещу заплахи като ResolverRAT, Morphisec промотира своята Автоматизирана защита на движеща се цел (AMTD), която предотвратява атаките в най-ранната стадия, като постоянно променя атакуваната повърхност, което затруднява за зловредния софтуер намирането на цел.

ResolverRAT е ясен пример за това как се развива изтънчената киберпрестъпност – и защо критични сектори като здравеопазването трябва да стоят винаги една крачка напред.