在惡意軟件分析師與開發(fā)人員就使用該工具的攻擊進(jìn)行質(zhì)詢后，新的名為 CodeRAT 遠(yuǎn)程訪問木馬 (RAT) 的開發(fā)者在 GitHub 上公開了其源代碼。網(wǎng)絡(luò)安全公司 SafeBreach 報(bào)告稱，CodeRAT 通過使用包含 Microsoft 動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 漏洞的 Microsoft Word 文檔來針對(duì)講波斯語的代碼開發(fā)人員。

CodeRAT 支持大約 50 種與文件、進(jìn)程操作和屏幕捕獲、剪貼板、文件和環(huán)境信息的竊取功能相關(guān)的不同命令，還支持用于升級(jí)或安裝其他惡意軟件二進(jìn)制文件的命令。并具有針對(duì) web 郵件、Microsoft Office 文檔、數(shù)據(jù)庫、社交網(wǎng)絡(luò)平臺(tái)、Windows Android 的集成開發(fā)環(huán)境 (IDE) 甚至 PayPal 等個(gè)人網(wǎng)站的廣泛監(jiān)控功能，以及監(jiān)視 Visual Studio、Python、PhpStorm 和 Verilog 等工具的敏感窗口。

CodeRAT 的通信方式是通用的并且非常獨(dú)特的，支持使用 bot API 或 USB 閃存驅(qū)動(dòng)器通過 Telegram 組進(jìn)行通信。它還可以在 silent 模式下運(yùn)行，其中包括不返回報(bào)告。CodeRAT 使用匿名的公共上傳站點(diǎn)，而不是專用的 C2 服務(wù)器，并使用反檢測技術(shù)將其使用時(shí)間限制為 30 天。此外，它將使用 HTTP Debugger 網(wǎng)站作為代理與其 C2 Telegram group 進(jìn)行通信。 

當(dāng)研究人員聯(lián)系惡意軟件開發(fā)者時(shí)，其惡意活動(dòng)已突然停止；但盡管如此，BleepingComputer 指出，由于作者公開了源代碼，CodeRAT 可能會(huì)變得更加流行。

攻擊者可以通過構(gòu)建和混淆命令的 UI 工具生成命令，然后使用以下三種方法之一將它們傳輸?shù)綈阂廛浖?/p>

• 帶代理的 Telegram bot API（無直接請(qǐng)求）
• 手動(dòng)模式（包括 USB 選項(xiàng)）
• “myPictures” 文件夾中本地存儲(chǔ)的命令

同樣的三種方法也可用于數(shù)據(jù)泄露，包括單個(gè)文件、整個(gè)文件夾或針對(duì)特定文件擴(kuò)展名。

如果受害者所在的國家 / 地區(qū)禁止了 Telegram，CodeRAT 會(huì)提供反過濾功能，該功能會(huì)建立一個(gè)單獨(dú)的請(qǐng)求路由通道，幫助繞過封鎖。

據(jù)稱，該惡意軟件可以在重啟之間持續(xù)存在，而不對(duì) Windows 注冊(cè)表進(jìn)行任何更改，但 SafeBreach 并沒有提供有關(guān)這一功能的任何細(xì)節(jié)。CodeRAT 帶有強(qiáng)大的功能，很可能會(huì)吸引其他網(wǎng)絡(luò)犯罪分子。?