Morphisec виявила Snip3 Crypter — складну службу, що доставляє RAT (AsyncRAT, RevengeRAT, Agent Tesla, NetWire) через фішинг та великі інсталятори (наприклад, Adobe). Зловмисники використовують передові методи ухиляння, обходячи пісочниці та антивіруси.

Як це працює? Атака починається з VBS-скрипту, що запускає PowerShell із параметром RemoteSigned. Скрипт завантажує код із Pastebin/top4top, перевіряє віртуальні середовища (Windows Sandbox, VMWare) і компілює RunPE-завантажувач у реальному часі для впровадження RAT у процеси Windows.

Що загрожує? Викрадення даних, віддалений доступ і персистентність у системі.

Як захиститися?

-Уникайте підозрілих листів і завантажень.
-Перевірте систему за хешами (наприклад, 64afcb90ecba8af5124dd17d3486da7e40010641ee016fece0f3edf08e24e372).
-Використовуйте Morphisec для захисту від безфайлових атак.
-Оновлюйте антивіруси та системи.

Захистіть свої дані від Snip3 та інших прихованих загроз!