Bedreigingsactoren die opereren onder de naam Anonymous Arabic hebben een trojan voor externe toegang (RAT) uitgebracht met de naam Zilveren RAT dat is uitgerust om beveiligingssoftware te omzeilen en heimelijk verborgen applicaties te starten.
“De ontwikkelaars opereren op meerdere hackerforums en sociale-mediaplatforms en tonen een actieve en geavanceerde aanwezigheid”, zei cyberbeveiligingsbedrijf Cyfirma in een vorige week gepubliceerd rapport.
De acteurs, waarvan wordt aangenomen dat ze van Syrische afkomst zijn en verbonden zijn met de ontwikkeling van een andere RAT, bekend als S500 RAT, exploiteren ook een Telegram-kanaal dat verschillende diensten aanbiedt, zoals de distributie van gekraakte RAT’s, gelekte databases, kaartactiviteiten en de verkoop van Facebook en X (voorheen Twitter) bots.
De sociale-mediabots worden vervolgens door andere cybercriminelen gebruikt om verschillende illegale diensten te promoten door automatisch in te gaan op en commentaar te geven op gebruikersinhoud.
In-the-wild detecties van Silver RAT v1.0 werden voor het eerst waargenomen in november 2023, hoewel de plannen van de bedreigingsacteur om de trojan vrij te geven een jaar eerder voor het eerst officieel werden gemaakt. Het werd rond oktober 2023 gekraakt en gelekt op Telegram.
De op C# gebaseerde malware beschikt over een breed scala aan functies om verbinding te maken met een command-and-control (C2)-server, toetsaanslagen te registreren, systeemherstelpunten te vernietigen en zelfs gegevens te versleutelen met behulp van ransomware. Er zijn ook aanwijzingen dat er een Android-versie in de maak is.
“Terwijl ze een payload genereren met behulp van de Silver RAT-builder, kunnen bedreigingsactoren verschillende opties selecteren met een payloadgrootte tot maximaal 50 kb”, aldus het bedrijf. “Eenmaal verbonden verschijnt het slachtoffer op het door de aanvaller bestuurde Silver RAT-paneel, dat de logs van het slachtoffer weergeeft op basis van de gekozen functionaliteiten.”
Een interessante ontwijkingsfunctie die in Silver RAT is ingebouwd, is de mogelijkheid om de uitvoering van de payload met een bepaalde tijd uit te stellen, evenals heimelijk apps te starten en de controle over de gecompromitteerde host over te nemen.
Uit verdere analyse van de online voetafdruk van de malware-auteur blijkt dat een van de leden van de groep waarschijnlijk midden twintig is en in Damascus woont.
“De ontwikkelaar […] lijkt Palestina te steunen op basis van hun Telegram-posts, en leden die met deze groep geassocieerd zijn, zijn actief in verschillende arena’s, waaronder sociale media, ontwikkelingsplatforms, ondergrondse forums en Clearnet-websites, wat hun betrokkenheid suggereert bij het verspreiden van verschillende malware”, aldus Cyfirma.
