Um agente de ameaça desconhecido tem como alvo entidades russas com um trojan de acesso remoto recém-descoberto chamado Woody RAT por pelo menos um ano como parte de uma campanha de spear phishing.

“As primeiras versões deste RAT eram tipicamente arquivadas em um arquivo ZIP fingindo ser um documento específico de um grupo russo”, disseram os pesquisadores da Malwarebytes em um relatório no início da semana.

Além de criptografar suas comunicações com um servidor remoto, o Woody RAT está equipado com recursos para gravar arquivos arbitrários na máquina, executar malware adicional, excluir arquivos, enumerar diretórios, capturar informações de tela e reunir uma lista de processos em execução.

Além disso, o malware faz uso da técnica de esvaziamento do processo para se injetar em um processo suspenso do Bloco de Notas e se exclui do disco para evitar a detecção do software de segurança instalado no host comprometido.