Шпионская программа ResolverRAT, распространяемая через фишинг, нацелена на систему здравоохранения
В марте 2025 года специалисты по кибербезопасности обнаружили новую опасную вредоносную программу ResolverRAT, нацеленную на здравоохранение и фармацевтическую отрасль. Эта недавно выявленная угроза выделяется сложным скрытным методом работы: она действует в памяти компьютера, практически не оставляя следов, что делает её обнаружение крайне сложным для традиционных антивирусных программ.
ResolverRAT распространяется через тщательно продуманные фишинговые письма, которые обманом заставляют пользователей устанавливать вредоносное ПО на свои компьютеры. Такие письма часто содержат предупреждения о юридических проблемах или нарушениях, вызывая у пользователей страх и побуждая их скачать приложение или программу.
Эти фишинговые кампании проводились на нескольких языках — чешском, хинди, индонезийском, итальянском, португальском и турецком, — и были направлены на здравоохранение по всему миру.
Вредоносная программа использует метод DLL side-loading, внедряя себя в легитимное программное обеспечение для проникновения в систему. Затем она с помощью сложных алгоритмов распаковывает и запускает свой код в памяти.
Кроме того, ResolverRAT задействует внутренний механизм .NET — событие ResourceResolve, — чтобы запускать свой вредоносный код скрытно, без подозрительных вызовов API.
Программа использует шифрование AES-256, обеспечивая конфиденциальную передачу данных, и способна обходить даже системы защиты от подделки сертификатов.
Для длительной скрытной работы в системе ResolverRAT добавляет десятки ключей в реестр, некоторые из которых крайне сложно обнаружить. Также её командные серверы регулярно меняются и защищены механизмами безопасности, чтобы уклоняться от инспекций SSL.
ResolverRAT — это современная вредоносная программа нового поколения, оснащённая мощными техниками скрытной работы. Она представляет серьёзную угрозу для здравоохранения и фармацевтической отрасли. Организациям необходимо регулярно информировать сотрудников о фишинговых письмах, своевременно устанавливать обновления безопасности и использовать разнообразные инструменты обнаружения угроз для защиты своих систем.
