Виявлено оновлені версії CinaRAT (ребрендинг QuasarRAT), які використовують безфайлові методи для доставки через ISO-архіви та VBScript.

Як це працює?

-Початковий VBScript завантажує .NET DLL із GitHub (маскується під зображення), використовуючи рефлективне завантаження.
-Скрипт забезпечує персистентність через автозапуск (NameSpace(7).Self.Path) і обфускацію коментарями.
-.NET-завантажувач декодує CinaRAT (base64 + XOR) і інжектує його в легітимний процес через process hollowing.
-Використовуються динамічні DNS (наприклад, aptzebi.myq-see[.]com) для C2-комунікацій.

Що загрожує? Викрадення даних, віддалене виконання команд і компрометація системи.

Як захиститися?

-Уникайте підозрілих ISO-архівів і посилань.
-Обмежте виконання VBScript і PowerShell.
-Оновлюйте антивірусне ПЗ та слідкуйте за мережевою активністю.
-Перевіряйте автозапуск і підозрілі процеси.

CinaRAT еволюціонує, уникаючи виявлення. Захищайте свої системи!