ResolverRAT Malware Ontwijkt Detectie, Treft Farmaceutische en Gezondheidszorgbedrijven

ResolverRAT, een onopvallende malware zonder bestanden, richt zich op de gezondheidszorg en farmaceutische industrieën met op phishing gebaseerde aanvallen, zo heeft Morphisec Labs gewaarschuwd.

Een gevaarlijke nieuwe malware-variant genaamd ResolverRAT is ontdekt door Morphisec Labs, en wordt al gebruikt in gerichte cyberaanvallen tegen gezondheidszorg- en farmaceutische organisaties wereldwijd.

Morphisec meldt dat ResolverRAT een Remote Access Trojan (RAT) is die is ontworpen om detectie en analyse te ontwijken. In tegenstelling tot traditionele malware, draait ResolverRAT volledig in het geheugen en laat het geen bestanden achter op de schijf, wat het veel moeilijker maakt om te detecteren met traditionele antivirusprogramma’s.

De dreiging werd voor het eerst gedetecteerd in aanvallen tegen Morphisec-klanten, specifiek in de gezondheidszorg, met de laatste golf die plaatsvond op 10 maart 2025.

De onderzoekers leggen uit dat ResolverRAT zeer realistische phishing-e-mails in meerdere talen gebruikt om bedrijfsmedewerkers te misleiden om geïnfecteerde bestanden te downloaden. De e-mails dreigen met juridische gevolgen zoals schendingen van het auteursrecht om ontvangers te dwingen te klikken.

“Deze campagnes weerspiegelen de voortdurende trend van sterk gelokaliseerde phishing,” merkt Morphisec op, en legt uit dat het aanpassen van taal en thema’s per land de kans vergroot dat iemand voor de oplichting valt.

Eenmaal in een systeem, laadt ResolverRAT een verborgen kwaadaardig programma met behulp van een methode genaamd DLL side-loading, vaak vermomd binnen een legitieme app. Dit stelt de malware in staat om binnen te sluipen zonder alarmbellen te laten rinkelen.

De malware gebruikt sterke encryptie en verhullende technieken om zijn ware doel te verbergen. Het werkt alleen in het geheugen van de computer, vermijdt het gebruik van normale systeembestanden en creëert zelfs valse certificaten om beveiligd netwerkmonitoring te omzeilen.

Het ontwerp omvat meerdere methoden om verborgen en actief te blijven, zelfs als sommige worden geblokkeerd. Het installeert zichzelf in verschillende delen van het systeem en gebruikt een roterende lijst van servers en versleutelde communicatie om detectie te vermijden.

Morphisec waarschuwt dat ResolverRAT onderdeel lijkt te zijn van een wereldwijde operatie, met overeenkomsten met andere bekende cyberaanvallen. Gedeelde tools, technieken en zelfs identieke bestandsnamen suggereren een gecoördineerde inspanning of gedeelde bronnen onder dreigingsgroepen.

“Deze nieuwe malware-familie is vooral gevaarlijk voor zorg- en farmaceutische bedrijven vanwege de gevoelige gegevens die ze hebben,” zei Morphisec.

Om bedreigingen zoals ResolverRAT te bestrijden, promoot Morphisec zijn Automated Moving Target Defense (AMTD), die aanvallen in het vroegste stadium voorkomt door het aanvalsoppervlak constant te veranderen, waardoor het moeilijker wordt voor malware om een doelwit te vinden.

ResolverRAT is een duidelijk voorbeeld van hoe geavanceerde cybercriminaliteit zich ontwikkelt – en waarom cruciale sectoren zoals de gezondheidszorg altijd een stap voor moeten blijven.