ResolverRAT Malware Unngår Deteksjon, Treffer Pharma- og Helsefirmaer

ResolverRAT, en umerkelig filøs skadevare, retter seg mot helse- og legemiddelindustrien med phishing-baserte angrep, har Morphisec Labs advart.

En farlig ny malware-variant kalt ResolverRAT er avdekket av Morphisec Labs, og den blir allerede brukt i målrettede cyberangrep mot helse- og farmasøytiske organisasjoner over hele verden.

Morphisec rapporterer at ResolverRAT er en Remote Access Trojan (RAT) som er designet for å unngå deteksjon og analyse. I motsetning til tradisjonell skadelig programvare, kjører ResolverRAT helt i minnet og etterlater ikke filer på disken, noe som gjør det mye vanskeligere å oppdage ved hjelp av tradisjonelle antivirusverktøy.

Trusselen ble først oppdaget i angrep mot Morphisec-klienter, spesielt i helsesektoren, med den siste bølgen som skjedde den 10. mars 2025.

Forskerne forklarer at ResolverRAT bruker svært realistiske phishing-e-poster på flere språk for å lure bedriftsansatte til å laste ned infiserte filer. E-postene truer med juridiske konsekvenser, som brudd på opphavsretten, for å tvinge mottakerne til å klikke.

“Disse kampanjene reflekterer den pågående trenden med sterkt lokalisert phishing,” bemerker Morphisec, og forklarer at skreddersydd språk og temaer etter land øker sjansen for at noen vil gå på svindelen.

Når den først er inne i et system, laster ResolverRAT en skjult skadelig programvare ved hjelp av en metode som kalles DLL side-loading, ofte kamuflert innenfor en legitim app. Dette lar malwaren snike seg inn uten å utløse alarmer.

Malwaren bruker sterk kryptering og forvrengningsteknikker for å skjule sitt sanne formål. Den opererer kun i datamaskinens minne, unngår å bruke normale systemfiler, og lager til og med falske sertifikater for å omgå sikker nettverksovervåkning.

Designet inkluderer flere metoder for å forblive skjult og aktiv, selv om noen blir blokkert. Den installerer seg selv i forskjellige deler av systemet og bruker en roterende liste over servere og kryptert kommunikasjon for å unngå deteksjon.

Morphisec advarer om at ResolverRAT ser ut til å være en del av en global operasjon, med likheter til andre kjente cyberangrep. Delte verktøy, teknikker og til og med identiske filnavn tyder på en koordinert innsats eller delte ressurser blant trusselgrupper.

«Denne nye malware-familien er spesielt farlig for helse- og farmasøytiske selskaper på grunn av den sensitive informasjonen de besitter,» sa Morphisec.

For å bekjempe trusler som ResolverRAT, fremmer Morphisec sin automatiserte Moving Target Defense (AMTD), som hindrer angrep på det tidligste stadiet ved konstant å endre angrepsoverflaten, noe som gjør det vanskeligere for malware å finne et mål.

ResolverRAT er et klart eksempel på hvordan sofistikert nettkriminalitet utvikler seg – og hvorfor kritiske sektorer som helsevesenet må holde seg ett steg foran.