Malware ResolverRAT Unika Wykrycia, Uderza w Firmy Farmaceutyczne i Służbę Zdrowia

ResolverRAT, podstępne oprogramowanie typu fileless malware, kieruje swoje ataki typu phishing na sektor opieki zdrowotnej i przemysł farmaceutyczny – ostrzega Morphisec Labs.

Niebezpieczny nowy wariant malware o nazwie ResolverRAT został odkryty przez Laboratoria Morphisec, a już jest wykorzystywany w celowanych atakach cybernetycznych na organizacje związane z opieką zdrowotną i przemysłem farmaceutycznym na całym świecie.

Morphisec informuje, że ResolverRAT to Trojański Koń Dostępu Zdalnego (RAT), który został zaprojektowany w celu unikania wykrycia i analizy. W przeciwieństwie do tradycyjnego złośliwego oprogramowania, ResolverRAT działa całkowicie w pamięci i nie pozostawia plików na dysku, co znacznie utrudnia jego wykrycie za pomocą tradycyjnych narzędzi antywirusowych.

Zagrożenie zostało po raz pierwszy wykryte podczas ataków na klientów Morphisec, konkretnie w branży opieki zdrowotnej, a najnowsza fala miała miejsce 10 marca 2025 roku.

Badacze tłumaczą, że ResolverRAT wykorzystuje bardzo realistyczne e-maile phishingowe w wielu językach, aby zmylić pracowników korporacyjnych i skłonić ich do pobrania zainfekowanych plików. E-maile grożą konsekwencjami prawnymi, takimi jak naruszenia praw autorskich, aby zmusić odbiorców do kliknięcia.

„Te kampanie odzwierciedlają trwający trend wysoko zlokalizowanego phishingu” – zauważa Morphisec, wyjaśniając, że dostosowanie języka i tematów do kraju zwiększa szansę, że ktoś da się nabrać na oszustwo.

Raz w systemie, ResolverRAT ładuje ukryty złośliwy program, używając metody zwanej bocznym ładowaniem DLL, często ukrywając się w legitacyjnej aplikacji. Pozwala to malware’owi przemknąć nie wywołując alarmów.

Malware używa silnego szyfrowania i technik zaciemniania, aby ukryć swoje prawdziwe przeznaczenie. Działa tylko w pamięci komputera, unika korzystania z normalnych plików systemowych, a nawet tworzy fałszywe certyfikaty, aby ominąć bezpieczne monitorowanie sieci.

Jego projekt obejmuje wiele metod, aby pozostać niewidocznym i aktywnym, nawet jeśli niektóre z nich są zablokowane. Instaluje się w różnych częściach systemu i korzysta z rotacyjnej listy serwerów oraz szyfrowanej komunikacji, aby uniknąć wykrycia.

Morphisec ostrzega, że ResolverRAT wydaje się być częścią globalnej operacji, mającej podobieństwo do innych znanych cyberataków. Wspólne narzędzia, techniki, a nawet identyczne nazwy plików sugerują skoordynowane działania lub współdzielenie zasobów przez grupy zagrożeń.

„Ta nowa rodzina złośliwego oprogramowania jest szczególnie niebezpieczna dla firm z branży opieki zdrowotnej i farmaceutycznej ze względu na wrażliwe dane, które posiadają”, powiedziała Morphisec.

W celu zwalczania zagrożeń takich jak ResolverRAT, Morphisec promuje swoją Automatyczną Obronę Ruchomego Celu (AMTD), która zapobiega atakom na najwcześniejszym etapie, poprzez ciągłe zmienianie powierzchni ataku, co utrudnia złośliwemu oprogramowaniu znalezienie celu.

ResolverRAT jest wyraźnym przykładem na to, jak rozwija się zaawansowana cyberprzestępczość – i dlaczego kluczowe sektory, takie jak opieka zdrowotna, muszą być o krok do przodu.