اخیرا یک تروجان دسترسی از راه دور جدید و پیچیده موسوم به ResolverRAT، در حملاتی که بخشهای مراقبتهای درمانی و داروسازی را هدف قرار میدهند، شناسایی شده است.
بر اساس گزارش پژوهشگران آزمایشگاه Morphisec، عامل تهدید از ایمیلهای فیشینگ حاوی فریبهای مبتنی بر ارعاب استفاده میکند تا گیرندگان را برای کلیک روی لینک مخرب تحت فشار قرار دهد. پس از دسترسی، لینک مخرب کاربر را به دانلود و باز کردن فایلی هدایت میکند که منجر به راهاندازی زنجیره اجرای ResolverRAT میشود. این فعالیت تا مارس 2025 مشاهده شد و زیرساختها و مکانیسم تحویل آن با کمپینهای فیشینگی که بدافزارهای سارق اطلاعات Lumma و Rhadamanthys را توزیع کردهاند، همپوشانی دارد. یکی از جنبههای قابل توجه این کمپین، استفاده از فریبهای فیشینگ بومی با ایمیلهایی عمدتاً به زبان کشورهای هدف شامل هندی، ایتالیایی، چکی، ترکی، پرتغالی و اندونزیایی است که بیانگر تلاشهای عامل تهدید برای به حداکثر رساندن میزان آلودگی میباشد. این بدافزار با افزودن کلیدهای مبهم شده با XOR در حداکثر 20 مکان در رجیستری ویندوز، پایداری را ایمن میسازد و هم زمان، خود را به «Startup»، «Program Files» و «LocalAppData» در سیستم فایل میافزاید.
https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/
https://thehackernews.com/2025/04/resolverrat-campaign-targets-healthcare.html
