在恶意软件分析师和开发人员被质疑使用该工具进行攻击后,一种名为CodeRAT的新型远程访问木马(RAT)的开发人员在GitHub上开源了源代码。网络安全公司SafeBreach报告称,CodeRAT通过使用包含Microsoft动态数据交换(DDE)漏洞的MicrosoftWord文档来攻击讲波斯语的代码开发人员。CodeRAT支持大约50种不同的命令,这些命令与文件窃取功能、进程操作和屏幕捕获、剪贴板、文件和环境信息相关,以及用于升级或安装其他恶意软件二进制文件的命令。并且对网页邮件、MicrosoftOffice文档、数据库、社交网络平台、WindowsAndroid的集成开发环境(IDE)甚至PayPal等个人网站都有广泛的监控能力,还有敏感的windows监控工具,如VisualStudio、Python、PhpStorm和Verilog。CodeRAT的通信方法通用且非常独特,支持使用botAPI或USB闪存驱动器通过Telegram组进行通信。它还可以在静默模式下运行,包括不返回报告。CodeRAT使用匿名公共上传站点而不是专用的C2服务器,并使用反检测技术将其使用限制为30天。此外,它将使用HTTPDebugger网站作为代理与其C2Telegram组进行通信。当研究人员联系到恶意软件作者时,其恶意活动已经戛然而止;然而,BleepingComputer指出,由于作者已经发布了源代码,CodeRAT可能会变得更受欢迎。攻击者可以通过构建和混淆命令的UI工具生成命令,然后使用以下三种方法之一将它们传输到恶意软件:带代理的TelegrambotAPI(无直接请求)手动模式(包括USB选项)“myPictures”本地存储文件夹中的命令同样的三种方法也可用于数据泄露,包括单个文件、整个文件夹或针对特定文件扩展名。如果Telegram在受害者所在国家/地区被屏蔽,CodeRAT会提供反过滤功能,建立单独的请求路由通道以帮助绕过屏蔽。据说该恶意软件会在重新启动之间持续存在,而不会对Windows注册表进行任何更改,但SafeBreach没有提供有关此功能的任何详细信息。CodeRAT具有强大的功能,可能会吸引其他网络犯罪分子。
