Pesquisadores de segurança cibernética divulgaram uma nova campanha de malware que utiliza um carregador de malware chamado PureCrypter para fornecer um trojan de acesso remoto (RAT) chamado DarkVision RAT.
A atividade, observada pelo Zscaler ThreatLabz em julho de 2024, envolve um processo de vários estágios para entregar a carga útil do RAT.
“O DarkVision RAT se comunica com seu servidor de comando e controle (C2) usando um protocolo de rede personalizado por meio de soquetes”, disse o pesquisador de segurança Muhammed Irfan VA em uma análise.
“O DarkVision RAT oferece suporte a uma ampla variedade de comandos e plug-ins que permitem recursos adicionais, como keylogging, acesso remoto, roubo de senha, gravação de áudio e capturas de tela.”
PureCrypter, divulgado publicamente pela primeira vez em 2022, é um carregador de malware pronto para uso que está disponível para venda por assinatura, oferecendo aos clientes a capacidade de distribuir ladrões de informações, RATs e ransomware.
O vetor de acesso inicial exato usado para entregar o PureCrypter e, por extensão, o DarkVision RAT não é exatamente claro, embora abra caminho para um executável .NET responsável por descriptografar e iniciar o carregador Donut de código aberto.
O carregador Donut posteriormente inicia o PureCrypter, que finalmente descompacta e carrega o DarkVision, ao mesmo tempo que configura a persistência e adiciona os caminhos de arquivo e nomes de processos usados pelo RAT à lista de exclusões do Microsoft Defender Antivirus.
A persistência é obtida configurando tarefas agendadas usando a interface ITaskService COM, chaves de execução automática e criando um script em lote que contém um comando para executar o executável RAT e colocando um atalho para o script em lote na pasta de inicialização do Home windows.
O RAT, que surgiu inicialmente em 2020, é anunciado em um website clearnet por apenas US$ 60 por pagamento único, oferecendo uma proposta atraente para atores de ameaças e aspirantes a criminosos cibernéticos com pouco conhecimento técnico que desejam montar seus próprios ataques.
Desenvolvido em C++ e meeting (também conhecido como ASM) para “desempenho best”, o RAT vem com um extenso conjunto de recursos que permitem injeção de processo, shell remoto, proxy reverso, manipulação da área de transferência, keylogging, captura de tela e recuperação de cookies e senha. de navegadores da net, entre outros.
Ele também foi projetado para coletar informações do sistema e receber plug-ins adicionais enviados de um servidor C2, aumentando ainda mais sua funcionalidade e garantindo aos operadores controle complete sobre o host Home windows infectado.
“O DarkVision RAT representa uma ferramenta potente e versátil para criminosos cibernéticos, oferecendo uma ampla gama de recursos maliciosos, desde keylogging e captura de tela até roubo de senha e execução remota”, disse Zscaler.
“Essa versatilidade, combinada com seu baixo custo e disponibilidade em fóruns de hackers e em seus websites, tornou o DarkVision RAT cada vez mais common entre os invasores.”