Вредонос ResokerRAT управляет Windows через Telegram Bot API

Новый вредонос для Windows под названием ResokerRAT позволяет злоумышленникам управлять заражёнными системами удалённо, без традиционного сервера. Вредоносная программа использует Bot API Telegram в качестве основного канала управления и маскирует зашифрованный трафик Telegram под обычный. Из-за этого средствам сетевой защиты трудно отличить командные коммуникации вредоноса от обычной переписки пользователей.

При запуске ResokerRAT создаёт специальный объект с именем Global\ResokerSystemMutex через API CreateMutexW. Такой способ гарантирует запуск только одного экземпляра вредоноса в системе. Затем программа вызывает функцию IsDebuggerPresent, чтобы найти подключённые отладчики. При положительном результате поиска запускается специальная обработка исключений для противодействия анализу.

Вредонос пытается перезапустить себя с повышенными правами через ShellExecuteEx с опцией runas. Если не получается, ВПО регистрирует ошибку и отправляет отчёт о сбое оператору через канал управления.

ResokerRAT уклоняется от анализа путём перечисления запущенных процессов через Process32NextW. Программа завершает работу известных инструментов мониторинга, в частности Taskmgr.exe, Procexp.exe и ProcessHacker.exe, используя функции OpenProcess и TerminateProcess.

Вредонос устанавливает глобальный перехватчик клавиатуры с помощью SetWindowsHookExW и флага WH_KEYBOARD_LL. Целью является не кейлоггинг, а блокировка защитных комбинаций клавиш типа alt + tab, alt + F4, ctrl + shift + esc, ctrl + alt + del и клавиши Windows. Это мешает пользователям и аналитикам переключаться между задачами или вызывать диспетчер задач.

ResokerRAT управляется через простые текстовые команды из Telegram. Screenshot создаёт одноимённую папку и запускает скрытую процедуру PowerShell. Block_taskmgr устанавливает значение реестра DisableTaskMgr в единицу, чтобы заблокировать диспетчер задач. Unblock_taskmgr сбрасывает это значение, чтобы усыпить бдительность пользователя. Startup записывает путь к вредоносу в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

Вредонос ослабляет запросы безопасности Windows командой uac-min. Программа устанавливает ConsentPromptBehaviorAdmin для подавления запросов повышения прав.

Через команду download вредонос загружает дополнительные файлы с адресов атакующих в локальную папку downloads, используя скрытый загрузчик PowerShell.