Siber güvenlik araştırmacıları, DarkVision RAT adı verilen ticari bir uzaktan erişim truva atı (RAT) sunmak için PureCrypter adlı bir kötü amaçlı yazılım yükleyicisinden yararlanan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Zscaler ThreatLabz tarafından Temmuz 2024’te gözlemlenen etkinlik, RAT yükünün teslim edilmesine yönelik çok aşamalı bir süreci içeriyor.
Güvenlik araştırmacısı Muhammed İrfan VA, “DarkVision RAT, komut ve kontrol (C2) sunucusuyla özel bir ağ protokolünü kullanarak soketler aracılığıyla iletişim kuruyor” dedi. söz konusu bir analizde.
“DarkVision RAT, tuş günlüğü tutma, uzaktan erişim, şifre hırsızlığı, ses kaydı ve ekran yakalama gibi ek yetenekleri etkinleştiren çok çeşitli komutları ve eklentileri destekler.”
İlk kez 2022’de kamuya duyurulan PureCrypter, abonelik esasıyla satışa sunulan, müşterilere bilgi hırsızlarını, RAT’ları ve fidye yazılımlarını dağıtma yeteneği sunan, kullanıma hazır bir kötü amaçlı yazılım yükleyicisidir.
PureCrypter’ı ve buna bağlı olarak DarkVision RAT’ı sunmak için kullanılan tam başlangıç erişim vektörü tam olarak açık değildir, ancak açık kaynağın şifresini çözmekten ve başlatmaktan sorumlu olan bir .NET yürütülebilir dosyasının önünü açmaktadır. Donut yükleyici.
Donut yükleyici daha sonra PureCrypter’ı başlatmaya devam eder; bu, DarkVision’ın paketini açar ve yükler, aynı zamanda kalıcılığı ayarlar ve RAT tarafından kullanılan dosya yolları ve işlem adlarını Microsoft Defender Antivirus’e ekler. hariç tutulanlar listesi.
Kalıcılık, ITaskService COM arabirimini, otomatik çalıştırma anahtarlarını kullanarak zamanlanmış görevleri ayarlayarak ve RAT yürütülebilir dosyasını yürütmek için bir komut içeren bir toplu komut dosyası oluşturarak ve Windows başlangıç klasörüne toplu komut dosyasına bir kısayol yerleştirerek elde edilir.
RAT, başlangıçta ortaya çıktı 2020’de bir clearnet sitesinde tek seferlik ödeme karşılığında 60 dolar gibi düşük bir fiyata reklamı yapılıyor ve kendi saldırılarını gerçekleştirmek isteyen, çok az teknik bilgisi olan tehdit aktörleri ve hevesli siber suçlular için cazip bir teklif sunuyor.
“Optimum performans” için C++ ve derlemede (diğer adıyla ASM) geliştirilen RAT, süreç enjeksiyonu, uzak kabuk, ters proxy, pano manipülasyonu, tuş günlüğü tutma, ekran görüntüsü yakalama ve çerez ve şifre kurtarmaya olanak tanıyan kapsamlı bir özellikler seti ile birlikte gelir. diğerlerinin yanı sıra web tarayıcılarından.
Ayrıca sistem bilgilerini toplamak ve bir C2 sunucusundan gönderilen ek eklentileri almak, işlevselliğini daha da artırmak ve operatörlere virüs bulaşmış Windows ana bilgisayarı üzerinde tam kontrol sağlamak üzere tasarlanmıştır.
Zscaler, “DarkVision RAT, siber suçlular için güçlü ve çok yönlü bir aracı temsil ediyor ve tuş kaydı ve ekran yakalamadan şifre hırsızlığı ve uzaktan yürütmeye kadar çok çeşitli kötü amaçlı yetenekler sunuyor.” dedi.
“Bu çok yönlülük, düşük maliyeti ve hack forumlarında ve web sitelerinde bulunabilirliğiyle birleştiğinde DarkVision RAT’ı saldırganlar arasında giderek daha popüler hale getirdi.”