Новый троян охотится на медицинские объекты по всему миру

Медицинские и фармацевтические учреждения по всему миру оказались в эпицентре новой киберволны. Виновник — мощный троян ResolverRAT, распространяющийся через якобы официальные письма о юридических претензиях. Хакеры не просто рассылают подделки — они адаптируют тексты под локальные языки, включая хинди, итальянский и португальский, создавая эффект полного доверия у получателя. Цель — заставить пользователя как можно скорее открыть вложение и запустить вредонос.

За запуском скрывается продвинутая схема: ResolverRAT проникает в систему с помощью техники DLL side-loading, маскируясь под легитимные программы. Вредонос работает исключительно в памяти, не оставляя привычных следов в файловой системе. Архитектура его работы напоминает операционную систему в миниатюре — каждый процесс запускается в отдельном потоке, а данные передаются небольшими блоками, чтобы не вызывать подозрений.

Особую тревогу вызывает то, что троян умеет обходить стандартные инструменты анализа и мониторинга: он не использует привычные вызовы API, внедряет собственную систему сертификатов, а управление заражёнными машинами ведёт через подмену IP и продвинутую валидацию каналов. В случае сбоя он автоматически восстанавливает связь, продолжая операцию, как ни в чём не бывало.

Исследователи подозревают, что за ResolverRAT могут стоять разработчики других опасных вредоносов, таких как Rhadamanthys или Lumma. Масштаб, технический уровень и координация говорят о профессиональной группировке с доступом к ресурсам и опытом международных кампаний. Медучреждения по всему миру пока остаются в зоне риска — атаки продолжаются.