Malware ResolverRAT izbjegava detekciju, pogađa farmaceutske i zdravstvene tvrtke

ResolverRAT, lukavi fileless malware, cilja na zdravstvene i farmaceutske industrije napadima temeljenima na phishingu, upozorili su iz Morphisec Labsa.

Opasna nova varijanta zlonamjernog softvera pod imenom ResolverRAT otkrivena je od strane Morphisec Labs, a već se koristi u ciljanim kibernetičkim napadima na zdravstvene i farmaceutske organizacije diljem svijeta.

Morphisec izvještava da je ResolverRAT udaljeni pristupni trojanski konj (RAT) koji je dizajniran da izbjegne detekciju i analizu. Za razliku od tradicionalnih zlonamjernih programa, ResolverRAT radi isključivo u memoriji i ne ostavlja datoteke na disku, što ga čini mnogo težim za otkrivanje pomoću tradicionalnih antivirusnih alata.

Prijetnja je prvi put otkrivena u napadima na klijente tvrtke Morphisec, posebno u industriji zdravstva, pri čemu je posljednji val zabilježen 10. ožujka 2025. godine.

Istraživači objašnjavaju da ResolverRAT koristi vrlo realistične phishing e-mailove na više jezika kako bi prevario zaposlenike u tvrtkama da preuzmu zaražene datoteke. E-mailovi prijete pravnim posljedicama poput kršenja autorskih prava kako bi primorali primatelje na klikanje.

“Ove kampanje odražavaju stalni trend visoko lokaliziranog phishinga,” napominje Morphisec, objašnjavajući da prilagođavanje jezika i tema po zemljama povećava šanse da će netko nasjesti na prijevaru.

Jednom kada uđe u sustav, ResolverRAT učitava skriveni zlonamjerni program koristeći metodu nazvanu DLL side-loading, često maskiran unutar legitimne aplikacije. To omogućuje zlonamjernom softveru da se neopaženo uvuče bez pokretanja alarma.

Zlonamjerni softver koristi snažnu enkripciju i tehnike zamagljivanja kako bi sakrio svoju pravu svrhu. Operira samo u memoriji računala, izbjegava korištenje normalnih sistemskih datoteka i čak stvara lažne certifikate kako bi zaobišao sigurno mrežno nadziranje.

Njen dizajn uključuje više metoda za ostajanje skrivenim i aktivnim, čak i ako su neki blokirani. Instalira se u različite dijelove sustava i koristi rotirajući popis servera i šifriranu komunikaciju kako bi izbjegla otkrivanje.

Morphisec upozorava da se čini da je ResolverRAT dio globalne operacije, sličnosti s drugim poznatim kibernetičkim napadima. Zajednički alati, tehnike, pa čak i identični nazivi datoteka sugeriraju koordiniran napor ili zajedničke resurse među skupinama koje prijete.

“Ova nova obitelj zlonamjernog softvera posebno je opasna za zdravstvene i farmaceutske tvrtke zbog osjetljivih podataka koje posjeduju,” izjavila je Morphisec.

Kako bi se borila protiv prijetnji poput ResolverRAT-a, Morphisec promovira svoju Automatiziranu obranu pokretnih meta (AMTD), koja sprječava napade u najranijoj fazi stalno mijenjajući površinu napada, čime je teže zlonamjernom softveru pronaći metu.

ResolverRAT je jasan primjer kako se sofisticirani kibernetski kriminal razvija – i zašto ključni sektori poput zdravstva moraju biti korak ispred.