Малварь ResolverRAT ускользает от обнаружения и атакует фармацевтические и медицинские компании

ResolverRAT, скрытное вредоносное ПО, которое не оставляет файлов, направляет свои атаки на сферу здравоохранения и фармацевтическую промышленность, используя фишинг, предупредила компания Morphisec Labs.

Опасный новый вариант вредоносного ПО под названием ResolverRAT был обнаружен лабораторией Morphisec Labs, и уже используется в целевых кибератаках против медицинских и фармацевтических организаций по всему миру.

Morphisec сообщает, что ResolverRAT — это троянский конь для удаленного доступа (RAT), который разработан для уклонения от обнаружения и анализа. В отличие от традиционного вредоносного ПО, ResolverRAT работает полностью в памяти и не оставляет файлов на диске, что делает его гораздо сложнее обнаружить с помощью традиционных антивирусных инструментов.

Угроза была впервые обнаружена в атаках на клиентов Morphisec, в особенности в сфере здравоохранения, с последней волной, произошедшей 10 марта 2025 года.

Исследователи объясняют, что ResolverRAT использует очень реалистичные фишинговые письма на нескольких языках, чтобы обмануть сотрудников компаний и заставить их загрузить зараженные файлы. Письма угрожают юридическими последствиями, такими как нарушение авторских прав, чтобы заставить получателей кликнуть.

«Эти кампании отражают текущий тренд к высокой локализации фишинга», — отмечает Morphisec, объясняя, что адаптация языка и тематики под каждую страну увеличивает вероятность того, что кто-то поддастся этому обману.

Однажды попав в систему, ResolverRAT загружает скрытую вредоносную программу с помощью метода, называемого загрузкой DLL «на ходу», часто маскируясь под законное приложение. Это позволяет вредоносному ПО проникнуть внутрь, не вызывая тревоги.

Вредоносное ПО использует сильное шифрование и техники обфускации для того, чтобы скрыть свое истинное назначение. Оно работает только в памяти компьютера, избегает использования обычных системных файлов и даже создает фальшивые сертификаты, чтобы обойти безопасное сетевое мониторинг.

Его дизайн включает в себя множество методов для того, чтобы оставаться незамеченным и активным, даже если некоторые из них заблокированы. Он устанавливает себя в разных частях системы и использует вращающийся список серверов и зашифрованную связь для избежания обнаружения.

Morphisec предупреждает, что ResolverRAT, по-видимому, является частью глобальной операции, имеющей сходства с другими известными кибератаками. Общие инструменты, методы и даже идентичные названия файлов указывают на координированные действия или общие ресурсы среди групп угроз.

«Эта новая семья вредоносного ПО особенно опасна для компаний в сфере здравоохранения и фармацевтических компаний из-за конфиденциальных данных, которыми они владеют», — сказала компания Morphisec.

Для борьбы с такими угрозами, как ResolverRAT, Morphisec предлагает свою Автоматизированную Оборону с Постоянно Изменяющейся Целью (AMTD), которая предотвращает атаки на ранней стадии, постоянно меняя поверхность атаки, что затрудняет поиск цели для вредоносного ПО.

ResolverRAT — это яркий пример того, как совершенствуется сложное киберпреступность, и почему такие важные сферы, как здравоохранение, должны оставаться на шаг впереди.