Un cheval de Troie d’accès à distance (RAT) « de conception complexe » appelé Xéno RAT a été mis à disposition sur GitHub, le mettant ainsi à la disposition d’autres acteurs sans frais supplémentaires.
Écrit en C# et compatible avec les systèmes d’exploitation Windows 10 et Windows 11, le RAT open source est livré avec un « ensemble complet de fonctionnalités pour la gestion du système à distance », selon son développeur, qui s’appelle moom825.
Il comprend un proxy inverse SOCKS5 et la possibilité d’enregistrer de l’audio en temps réel, ainsi que d’incorporer un réseau informatique virtuel caché (hVNC) module dans le sens de SombreVNCqui permet aux attaquants d’accéder à distance à un ordinateur infecté.
« Xeno RAT est entièrement développé à partir de zéro, garantissant une approche unique et personnalisée des outils d’accès à distance », a déclaré le développeur. États dans la description du projet. Un autre aspect notable est qu’il dispose d’un constructeur qui permet la création de variantes sur mesure du malware.
Il convient de noter que moom825 est également le développeur d’un autre RAT basé sur C# appelé DiscordRAT 2.0qui a été distribué par des acteurs malveillants dans un package npm malveillant nommé node-hide-console-windows, comme l’a révélé ReversingLabs en octobre 2023.
La société de cybersécurité Cyfirma, dans un rapport publié la semaine dernière, a déclaré avoir observé la diffusion de Xeno RAT via le réseau de diffusion de contenu (CDN) Discord, soulignant une fois de plus à quel point l’augmentation des logiciels malveillants abordables et disponibles gratuitement entraîne une augmentation des campagnes utilisant les RAT.
« Le vecteur principal, sous la forme d’un fichier de raccourci, déguisé en capture d’écran WhatsApp, fait office de téléchargeur », explique la société. dit. « Le téléchargeur télécharge l’archive ZIP depuis Discord CDN, extrait et exécute la charge utile de l’étape suivante. »
La séquence en plusieurs étapes exploite une technique appelée chargement latéral de DLL pour lancer une DLL malveillante, tout en prenant simultanément des mesures pour établir la persistance et échapper à l’analyse et à la détection.
Ce développement intervient alors que l’AhnLab Security Intelligence Center (ASEC) a révélé l’utilisation d’une variante Gh0st RAT appelée Nood RAT, utilisée dans les attaques ciblant les systèmes Linux, permettant aux adversaires de récolter des informations sensibles.
« Nood RAT est un malware de porte dérobée qui peut recevoir des commandes du serveur C&C pour effectuer des activités malveillantes telles que le téléchargement de fichiers malveillants, le vol de fichiers internes des systèmes et l’exécution de commandes », ASEC dit.
« Bien que de forme simple, il est équipé d’une fonction de cryptage pour éviter la détection des paquets réseau et peut recevoir des commandes d’acteurs malveillants pour mener de multiples activités malveillantes. »