Los investigadores de seguridad cibernética han arrojado luz sobre un troyano de acceso remoto mantenido activamente llamado DCRat (también conocido como DarkCrystal RAT) que se ofrece a precios “muy baratos”, lo que lo hace accesible tanto para grupos de ciberdelincuentes profesionales como para actores novatos.
“A diferencia de los grandes grupos rusos de amenazas bien financiados que crean malware personalizado […]este troyano de acceso remoto (RAT) parece ser el trabajo de un actor solitario, que ofrece una herramienta casera sorprendentemente eficaz para abrir puertas traseras con un presupuesto limitado”, dijeron los investigadores de BlackBerry en un reporte compartido con The Hacker News.
“De hecho, el RAT comercial de este actor de amenazas se vende a una fracción del precio estándar que exigen tales herramientas en los foros clandestinos rusos”.
Escrito en .NET por un nombre en código individual “boldenis44” y “crystalcoder”, DCRat es una puerta trasera con todas las funciones cuyas funcionalidades se pueden aumentar aún más mediante complementos de terceros desarrollados por afiliados que utilizan un entorno de desarrollo integrado dedicado (IDE) llamado DCRat Studio.
Se lanzó por primera vez en 2018, la versión 3.0 se envió el 30 de mayo de 2020 y la versión 4.0 se lanzó casi un año después, el 18 de marzo de 2021.
Los precios del troyano comienzan en 500 RUB ($ 5) por una licencia de dos meses, 2200 RUB ($ 21) por un año y 4200 RUB ($ 40) por una suscripción de por vida, cifras que se reducen aún más durante las promociones especiales.
mientras que un análisis previo por Mandiant en mayo de 2020 rastreó la infraestructura de RAT hasta files.dcrat[.]ru, el paquete de malware está actualmente alojado en un dominio diferente llamado crystalfiles[.]ru, lo que indica un cambio en respuesta a la divulgación pública.
“Todas las operaciones de marketing y ventas de DCRat se realizan a través del popular foro de piratería ruso lolz[.]guru, que también maneja algunas de las consultas de preventa de DCRat”, dijeron los investigadores.
También se utiliza activamente para las comunicaciones y el intercambio de información sobre actualizaciones de software y complementos. canal de telegramas que tiene alrededor de 2.847 suscriptores al momento de escribir.
Los mensajes publicados en el canal en las últimas semanas cubren actualizaciones de los complementos CryptoStealer, TelegramNotifier y WindowsDefenderExcluder, así como “cambios/arreglos estéticos” en el panel.
“Algunas funciones divertidas se han movido al complemento estándar”, se lee en un mensaje traducido compartido el 16 de abril. “El peso de la construcción ha disminuido ligeramente. No debería haber detecciones que vayan específicamente a estas funciones”.
Además de su arquitectura modular y su marco de complementos a medida, DCRat también incluye un componente de administrador que está diseñado para activar sigilosamente un interruptor de interrupción, lo que permite que el actor de amenazas deje inutilizable la herramienta de forma remota.
La utilidad de administración, por su parte, permite a los suscriptores iniciar sesión en un servidor de comando y control activo, emitir comandos a los puntos finales infectados y enviar informes de errores, entre otros.
Los vectores de distribución empleados para infectar hosts con DCRat incluyen Cobalt Strike Beacons y un sistema de dirección de tráfico (TDS) llamado Prometheus, una solución de crimeware como servicio (CaaS) basada en suscripción que se utiliza para entregar una variedad de cargas útiles.
El implante, además de recopilar metadatos del sistema, admite capacidades de vigilancia, reconocimiento, robo de información y ataques DDoS. También puede capturar capturas de pantalla, grabar pulsaciones de teclas y robar contenido del portapapeles, Telegram y navegadores web.
“Casi todos los días se anuncian nuevos complementos y actualizaciones menores”, dijeron los investigadores. “Si la amenaza está siendo desarrollada y sostenida por una sola persona, parece que es un proyecto en el que están trabajando a tiempo completo”.