Investigadores de ciberseguridad han revelado una nueva campaña de malware que aprovecha un cargador de malware llamado PureCrypter para entregar un troyano de acceso remoto (RAT) llamado DarkVision RAT.
La actividad, observada por Zscaler ThreatLabz en julio de 2024, implica un proceso de varias etapas para entregar la carga útil RAT.
“DarkVision RAT se comunica con su servidor de comando y control (C2) utilizando un protocolo de red personalizado a través de sockets”, dijo el investigador de seguridad Muhammed Irfan VA. dicho en un análisis.
“DarkVision RAT admite una amplia gama de comandos y complementos que permiten capacidades adicionales como registro de teclas, acceso remoto, robo de contraseñas, grabación de audio y capturas de pantalla”.
PureCrypter, divulgado públicamente por primera vez en 2022, es un cargador de malware estándar que está disponible para la venta mediante suscripción y ofrece a los clientes la posibilidad de distribuir ladrones de información, RAT y ransomware.
El vector de acceso inicial exacto utilizado para entregar PureCrypter y, por extensión, DarkVision RAT no está exactamente claro, aunque allana el camino para un ejecutable .NET que es responsable de descifrar y ejecutar el código abierto. Cargador de donas.
Posteriormente, el cargador Donut procede a iniciar PureCrypter, que finalmente descomprime y carga DarkVision, al tiempo que configura la persistencia y agrega las rutas de archivo y los nombres de proceso utilizados por RAT al antivirus Microsoft Defender. lista de exclusiones.
La persistencia se logra configurando tareas programadas utilizando la interfaz COM ITaskService, claves de ejecución automática y creando un script por lotes que contiene un comando para ejecutar el ejecutable RAT y colocando un acceso directo al script por lotes en la carpeta de inicio de Windows.
La RATA, que inicialmente emergió en 2020, se anuncia en un sitio clearnet por tan solo $60 por un pago único, ofreciendo una propuesta atractiva para actores de amenazas y aspirantes a ciberdelincuentes con pocos conocimientos técnicos que buscan montar sus propios ataques.
Desarrollado en C++ y ensamblador (también conocido como ASM) para un “rendimiento óptimo”, el RAT viene con un amplio conjunto de características que permiten la inyección de procesos, shell remoto, proxy inverso, manipulación del portapapeles, registro de teclas, captura de pantalla y recuperación de cookies y contraseñas. desde navegadores web, entre otros.
También está diseñado para recopilar información del sistema y recibir complementos adicionales enviados desde un servidor C2, aumentando aún más su funcionalidad y otorgando a los operadores un control total sobre el host de Windows infectado.
“DarkVision RAT representa una herramienta potente y versátil para los ciberdelincuentes, que ofrece una amplia gama de capacidades maliciosas, desde registro de teclas y captura de pantalla hasta robo de contraseñas y ejecución remota”, afirmó Zscaler.
“Esta versatilidad, combinada con su bajo costo y disponibilidad en foros de piratería y su sitio web, ha hecho que DarkVision RAT sea cada vez más popular entre los atacantes”.