Cybersecurity-onderzoekers hebben een nieuwe malwarecampagne onthuld die gebruik maakt van een malware-lader genaamd PureCrypter om een commodity trojan voor externe toegang (RAT) te leveren, genaamd DarkVision RAT.
De activiteit, waargenomen door Zscaler ThreatLabz in juli 2024, omvat een proces in meerdere fasen om de RAT-payload te leveren.
“DarkVision RAT communiceert met zijn command-and-control (C2) server met behulp van een aangepast netwerkprotocol via sockets”, zei beveiligingsonderzoeker Muhammed Irfan VA in een analyse.
“DarkVision RAT ondersteunt een breed scala aan opdrachten en plug-ins die extra mogelijkheden mogelijk maken, zoals keylogging, externe toegang, wachtwoorddiefstal, audio-opname en schermopnamen.”
PureCrypter, voor het eerst openbaar gemaakt in 2022, is een kant-en-klare malware-lader die op abonnementsbasis te koop is en klanten de mogelijkheid biedt informatiestelers, RAT’s en ransomware te verspreiden.
De exacte initiële toegangsvector die wordt gebruikt om PureCrypter en, bij uitbreiding, DarkVision RAT te leveren, is niet precies duidelijk, hoewel het de weg vrijmaakt voor een .NET-uitvoerbaar bestand dat verantwoordelijk is voor het ontsleutelen en starten van de open-source Donut-lader.
De Donut-lader start vervolgens PureCrypter, die uiteindelijk DarkVision uitpakt en laadt, terwijl ook persistentie wordt ingesteld en de bestandspaden en procesnamen die door de RAT worden gebruikt, worden toegevoegd aan de lijst met uitsluitingen van Microsoft Defender Antivirus.
Doorzettingsvermogen wordt bereikt door geplande taken in te stellen met behulp van de ITaskService COM-interface, autorun-sleutels en door een batchscript te maken dat een opdracht bevat om het uitvoerbare RAT-bestand uit te voeren en een snelkoppeling naar het batchscript in de opstartmap van Windows te plaatsen.
De RAT, die voor het eerst in 2020 opdook, wordt op een clearnet-site geadverteerd voor slechts 60 dollar voor een eenmalige betaling, wat een aantrekkelijk voorstel biedt voor bedreigingsactoren en aspirant-cybercriminelen met weinig technische kennis die hun geld willen opbrengen. eigen aanvallen.
De RAT is ontwikkeld in C++ en assembler (ook bekend als ASM) voor “optimale prestaties”, en zit boordevol een uitgebreide reeks functies die procesinjectie, externe shell, reverse proxy, klembordmanipulatie, keylogging, screenshot-opname en cookie- en wachtwoordherstel mogelijk maken van onder meer webbrowsers.
Het is ook ontworpen om systeeminformatie te verzamelen en extra plug-ins te ontvangen die worden verzonden vanaf een C2-server, waardoor de functionaliteit verder wordt uitgebreid en de operators volledige controle krijgen over de geïnfecteerde Windows-host.
“DarkVision RAT vertegenwoordigt een krachtige en veelzijdige tool voor cybercriminelen en biedt een breed scala aan kwaadaardige mogelijkheden, van keylogging en schermopname tot wachtwoorddiefstal en uitvoering op afstand”, aldus Zscaler.
“Deze veelzijdigheid, gecombineerd met de lage kosten en beschikbaarheid op hackforums en hun website, heeft DarkVision RAT steeds populairder gemaakt onder aanvallers.”
