תוכנת הרעל ResolverRAT נמלטת מזיהוי, פוגעת בחברות פרמה ובתחום הבריאות

ResolverRAT, תוכנה זדונית שאינה משאירה עקבות, מתמקדת בתעשיות הבריאות והתרופות באמצעות התקפות פישינג, הזהירו במעבדות Morphisec.

גרסה חדשה ומסוכנת של תוכנה זדונית בשם ResolverRAT גילתה מעבדות Morphisec, וכבר משתמשים בה בתקיפות סייבר ממוקדות נגד ארגוני בריאות וחברות פרמצבטיות ברחבי העולם.

מורפיסק מדווחת כי ResolverRAT הוא תוכנת חדירה מרחוק (RAT) שמותאמת להימנע מזיהוי וניתוח. לעומת תוכנות הרסניות מסורתיות, ResolverRAT פועלת לחלוטין בזיכרון ולא משאירה קבצים על הדיסק, דבר שהופך אותה לקשה יותר לאיתור באמצעות כלים אנטי-וירוס מסורתיים.

האיום זוהה לראשונה במתקפות נגד לקוחות של מורפיסק, במיוחד בתעשיית הבריאות, עם הגל האחרון שהתרחש ב-10 במרץ, 2025.

החוקרים מסבירים ש-ResolverRAT משתמש במיילים של דוגמאות באינטרנט שמאוד ריאליים במספר שפות, על מנת להונות את עובדי החברות להורדת קבצים מוכוזים. המיילים מאיימים על תוצאות משפטיות כמו הפרות זכויות יוצרים, כדי לאלץ את הנמענים ללחוץ על הקישורים.

”מסעות הפרסום האלו משקפים את המגמה המתמשכת של דוגמאות אינטרנט ממוקדות מאוד", מוסיפה Morphisec, ומסבירה שהתאמת השפה והנושאים לפי המדינה מגבירה את הסיכוי שמישהו ייפול בתרגיל ההונאה.

כאשר הוא נכנס למערכת, ResolverRAT טוען תוכנית זדונית מוסתרת באמצעות שיטה בשם טעינת ספריות DLL בצד, שלעיתים מתחפשת בתוך אפליקציה לגיטימית. זאת מאפשרת לתוכנה הרעילה להתגנב ללא שהתרעות המערכת יפעלו.

התוכנה הרעילה משתמשת בטכניקות הצפנה וערפליזציה חזקות כדי להסתיר את מטרתה האמיתית. היא פועלת רק בזיכרון המחשב, מנמנעת משימוש בקבצי המערכת הרגילים, ואף יוצרת תעודות מזויפות כדי לעקוף את מערכת ניטור הרשת המאובטחת.

תכנוןו כולל מספר שיטות להישאר מוסתר ופעיל, אפילו אם חסימה מתבצעת לחלק מהן. הוא מתקין את עצמו בחלקים שונים של המערכת ומשתמש ברשימה משתנה של שרתים ותקשורת מוצפנת כדי להימנע מזיהוי.

Morphisec מזהירה כי נראה ש-ResolverRAT הוא חלק ממבצע גלובלי, עם דמיון לתקיפות סייבר מוכרות אחרות. כלים, טכניקות משותפות, ואפילו שמות קבצים זהים מצביעים על מאמץ מתואם או משאבים משותפים בין קבוצות איום.

"משפחת התוכנות הרעילות החדשה הזו מאוד מסוכנת לחברות בריאות ופרמצבטיקה בשל המידע הרגיש שהן מחזיקות", אמרה Morphisec.

כדי להתמודד עם איומים כמו ResolverRAT, Morphisec מקדמת את הגנת היעד המזוזה האוטומטית שלה (AMTD), שמונעת התקפות בשלב המוקדם ביותר על ידי שינוי מתמיד של משטח התקפה, מה שהופך את זיהוי היעד לקשה יותר עבור התוכנית הרעילה.

ResolverRAT הוא דוגמה ברורה לכיצד הפשע הסייברנטי מתקדם ומתעדכן – ולמה תחומים קריטיים כמו הבריאות חייבים להשאר צעד אחד קדימה.