🦎 Новий троян LabubaRAT маскується під офіційне програмне забезпечення NVIDIA
Аналітики Blackpoint Cyber ідентифікували нове шкідливе ПЗ LabubaRAT, розроблене на мові Rust. Зразок запускається під виглядом nvidia-sysruntime.exe, копіюючи ім’я інструментарію контейнерів NVIDIA. Особливістю цього трояна є відсутність захардкоджених адрес керуючих серверів. Натомість конфігурація з параметрами зв’язку, зокрема адресою C2 (pipicka[.]xyz) та інтервалом опитування, передається через аргументи командного рядка у зашифрованому вигляді Base64.
Отримана конфігурація записується в локальну базу даних SQLite. Після запуску LabubaRAT сканує хост на наявність антивірусних рішень та браузерів, збираючи інформацію про процесор, обсяг оперативної пам’яті та стан служби контролю облікових записів Windows. На підставі отриманих даних оператор може виконувати системні команди, запускати скрипти PowerShell, створювати знімки екрана та транслювати трафік.
