Een “ingewikkeld ontworpen” trojan voor externe toegang (RAT) genaamd Xeno RAT is beschikbaar gemaakt op GitHub, waardoor het zonder extra kosten beschikbaar is voor andere actoren.
Geschreven in C# en compatibel met Windows 10- en Windows 11-besturingssystemen, wordt de open-source RAT geleverd met een “uitgebreide reeks functies voor systeembeheer op afstand”, aldus de ontwikkelaar, die de naam moom825 draagt.
Het bevat een SOCKS5 reverse proxy en de mogelijkheid om realtime audio op te nemen, evenals een verborgen virtual network computing (hVNC) -module in de trant van DarkVNC, waarmee aanvallers op afstand toegang kunnen krijgen tot een geïnfecteerde computer.
“Xeno RAT is volledig vanaf nul ontwikkeld en zorgt voor een unieke en op maat gemaakte benadering van tools voor externe toegang”, aldus de ontwikkelaar in de projectbeschrijving. Een ander opmerkelijk aspect is dat het een builder heeft waarmee op maat gemaakte varianten van de malware kunnen worden gemaakt.
Het is vermeldenswaard dat de moom825 ook de ontwikkelaar is van een andere op C# gebaseerde RAT genaamd DiscordRAT 2.0, die door bedreigingsactoren is verspreid in een kwaadaardig npm-pakket met de naam node-hide-console-windows, zoals onthuld door ReversingLabs in oktober 2023.
Cyberbeveiligingsbedrijf Cyfirma zei in een vorige week gepubliceerd rapport dat het zag dat Xeno RAT werd verspreid via het Discord content delivery network (CDN), wat opnieuw onderstreepte hoe een toename van betaalbare en vrij beschikbare malware een toename van campagnes met behulp van RAT’s veroorzaakt.
“De primaire vector in de vorm van een snelkoppelingsbestand, vermomd als een WhatsApp-screenshot, fungeert als downloader”, aldus het bedrijf. “De downloader downloadt het ZIP-archief van Discord CDN, extraheert en voert de volgende fase van de payload uit.”
De uit meerdere fasen bestaande reeks maakt gebruik van een techniek genaamd DLL side-loading om een kwaadaardige DLL te starten, terwijl tegelijkertijd stappen worden ondernomen om persistentie tot stand te brengen en analyse en detectie te omzeilen.
De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) het gebruik onthulde van een Gh0st RAT-variant genaamd Nood RAT die wordt gebruikt bij aanvallen op Linux-systemen, waardoor tegenstanders gevoelige informatie kunnen verzamelen.
“Nood RAT is een backdoor-malware die opdrachten kan ontvangen van de C&C-server om kwaadaardige activiteiten uit te voeren, zoals het downloaden van kwaadaardige bestanden, het stelen van interne systeembestanden en het uitvoeren van opdrachten”, aldus ASEC.
“Hoewel het eenvoudig van vorm is, is het uitgerust met een encryptiefunctie om netwerkpakketdetectie te voorkomen en kan het commando’s ontvangen van bedreigingsactoren om meerdere kwaadaardige activiteiten uit te voeren.”
