Malware ResolverRAT Уникає Виявлення, Атакує Фармацевтичні та Медичні Компанії

ResolverRAT, непомітне шкідливе програмне забезпечення без файлів, спрямовує свої атаки на охорону здоров’я та фармацевтичну промисловість, використовуючи атаки поштового шахрайства, попереджає Morphisec Labs.

Новий небезпечний варіант шкідливого програмного забезпечення під назвою ResolverRAT було виявлено Morphisec Labs, і він вже використовується в цільових кібератаках проти медичних та фармацевтичних організацій по всьому світу.

Morphisec повідомляє, що ResolverRAT – це троянський конь з дистанційним доступом (RAT), який розроблений для уникнення виявлення та аналізу. На відміну від традиційного шкідливого ПО, ResolverRAT працює повністю в пам’яті і не залишає файлів на диску, що робить його набагато важчим для виявлення за допомогою традиційних антивірусних інструментів.

Ця загроза була вперше виявлена під час атак на клієнтів Morphisec, особливо в галузі охорони здоров’я, з останньою хвилею, що сталася 10 березня 2025 року.

Дослідники пояснюють, що ResolverRAT використовує дуже реалістичні фішингові електронні листи на декількох мовах, щоб обманути працівників компаній і змусити їх завантажувати інфіковані файли. Електронні листи погрожують юридичними наслідками, наприклад, порушенням авторських прав, щоб змусити отримувачів клацнути.

“Ці кампанії відображають постійну тенденцію до глибокої локалізації фішингу”, – зазначає Morphisec, пояснюючи, що адаптація мови та тематики під кожну окрему країну збільшує шанси, що хтось потрапить на шахрайський гачок.

Одного разу всередині системи, ResolverRAT завантажує приховану шкідливу програму, використовуючи метод, який називається DLL side-loading, яку часто маскують усередині легітимного додатку. Це дозволяє шкідливому ПЗ проникнути всередину без спрацьовування будь-яких сигналів тривоги.

Це шкідливе ПЗ використовує сильне шифрування і техніки обфускації, щоб приховати своє справжнє призначення. Воно працює лише в оперативній пам’яті комп’ютера, уникає використання нормальних системних файлів і навіть створює фальшиві сертифікати для обходу безпечного моніторингу мережі.

Його дизайн включає декілька методів, щоб залишатися непомітним та активним, навіть якщо деякі з них заблоковані. Він встановлює себе в різних частинах системи та використовує ротаційний список серверів та зашифроване спілкування, щоб уникнути виявлення.

Morphisec попереджає, що ResolverRAT, схоже, є частиною глобальної операції, яка має схожість з іншими відомими кібератаками. Спільні інструменти, техніки та навіть ідентичні назви файлів свідчать про координовані дії або спільне використання ресурсів серед груп загроз.

“Цей новий клан шкідливого програмного забезпечення є особливо небезпечним для компаній у сфері охорони здоров’я та фармацевтики через велику кількість конфіденційних даних, які вони зберігають,” – заявила компанія Morphisec.

Для боротьби з такими загрозами, як ResolverRAT, Morphisec пропонує свою стратегію Автоматизована оборона рухомої мішені (AMTD), яка попереджає атаки на найранішому етапі через постійну зміну місця атаки, що утруднює роботу шкідливого програмного забезпечення у пошуках цілі.

ResolverRAT є яскравим прикладом того, як розвивається витончена кіберзлочинність – і чому критичні сектори, такі як охорона здоров’я, повинні завжди бути на крок вперед.