Een malware-exemplaar dat bij gerichte aanvallen is ingezet controleert de temperatuur van de computer om te kijken of het wel om een echte machine gaat en geen virtueel systeem is. Dat laat Cisco in een analyse weten. Het gaat om de GravityRAT (Remote Access Tool) die informatie van systemen steelt.
De malware wordt verspreid via een Microsoft Office-document met een kwaadaardige macro. Volgens het document moet de gebruiker macro's inschakelen om te bewijzen dat hij geen robot is, net zoals bij captcha's wordt gevraagd. Zodra de gebruiker macro's inschakelt wordt de malware geïnstalleerd. De malware kijkt echter of het besmette systeem wel een echte computer is en geen virtual machine.
Veel anti-virusbedrijven en onderzoekers maken namelijk gebruik van virtual machines om verdachte bestanden te onderzoeken. Door een virtual machine tijdig te detecteren kan de malware detectie ontlopen. In het geval van de GravityRAT heeft de ontwikkelaar zeven technieken toegepast om te controleren dat het gecompromitteerde systeem geen virtual machine is.
Hiervoor kijkt de malware naar de bios-versie en processor-id van het systeem, alsmede geïnstalleerde tools en het MAC-adres. Ook controleert de malware de huidige processor-temperatuur. Sommige virtualisatiesoftware, zoals VMWare, VirtualBox en Hyper-V, ondersteunen geen temperatuurcontroles. Op deze manier kan de malware identificeren of het aangevallen systeem een echte machine is.
Volgens Cisco wordt de malware al sinds 2016 ingezet, maar is de ontwikkelaar lange tijd erin geslaagd om onder de radar te blijven. De malware is met name tegen Indiase doelen gebruikt. Het Computer Emergency Response Team van de Indiase overheid heeft vorig jaar al een waarschuwing voor een variant van de malware afgegeven (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.