Các chuyên gia âm thanh cảnh báo trên DCRat Backdoor đang được bán trên các diễn đàn lấy cắp dữ liệu của Nga

DCRat Backdoor

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một trojan truy cập từ xa được duy trì tích cực có tên là DCRat (hay còn gọi là DarkCrystal RAT) được rao bán với giá “rẻ như bèo”, giúp cho các nhóm tội phạm mạng chuyên nghiệp cũng như các diễn viên mới làm quen với nó đều có thể truy cập được.

“Không giống như các nhóm đe dọa lớn của Nga được tài trợ tốt, tạo ra phần mềm độc hại tùy chỉnh […]Trojan truy cập từ xa (RAT) này dường như là công việc của một diễn viên duy nhất, cung cấp một công cụ tự chế hiệu quả đáng ngạc nhiên để mở backdoor với ngân sách tiết kiệm “, các nhà nghiên cứu của cho biết trong một báo cáo được chia sẻ với The Hacker News.

“Trên thực tế, RAT thương mại của kẻ đe dọa này bán với giá chỉ bằng một phần nhỏ so với giá tiêu chuẩn của các công cụ như lệnh trên các diễn đàn ngầm của Nga.”

Được viết bằng .NET bởi một cá nhân có tên mã “boldenis44” và “crystalcoder”, DCRat là một cửa hậu đầy đủ tính năng có các chức năng có thể được tăng cường thêm bằng các plugin của bên thứ ba do các chi nhánh phát triển bằng cách sử dụng môi trường phát triển tích hợp chuyên dụng (IDE) được gọi là DCRat Studio.

Nó được phát hành lần đầu tiên vào năm 2018, với phiên bản 3.0 ra mắt vào ngày 30 tháng 5 năm 2020 và phiên bản 4.0 ra mắt gần một năm sau đó vào ngày 18 tháng 3 năm 2021.

Xem tiếp:   Cải thiện kỹ năng lấy cắp dữ liệu của bạn với 9 khóa học Python chỉ với $ 39

Giá của trojan bắt đầu từ 500 RUB (5 đô la) cho giấy phép hai tháng, 2.200 RUB (21 đô la) cho một năm và 4.200 RUB (40 đô la) cho đăng ký trọn đời, những con số này còn được giảm thêm trong các chương trình khuyến mãi đặc biệt.

Trong khi một phân tích trước đây của vào tháng 5 năm 2020 đã truy tìm cơ sở hạ tầng của RAT thành files.dcrat[.]ru, gói phần mềm độc hại hiện được lưu trữ trên một miền khác có tên là crystalfiles[.]ru, cho thấy một sự thay đổi trong phản ứng với việc tiết lộ công khai.

DCRat Backdoor

“Tất cả các hoạt động tiếp thị và bán hàng của DCRat đều được thực hiện thông qua diễn đàn hack nổi tiếng của Nga lolz[.]guru, cũng xử lý một số truy vấn trước khi bán hàng của DCRat, “các nhà nghiên cứu cho biết.

Cũng được sử dụng tích cực để liên lạc và chia sẻ thông tin về các bản cập nhật phần mềm và plugin là kênh Telegram có khoảng 2.847 người đăng ký tính đến thời điểm viết bài.

DCRat Backdoor

Các tin nhắn được đăng trên kênh trong những tuần gần đây bao gồm các bản cập nhật cho các plugin CryptoStealer, TelegramNotifier và WindowsDefenderExcluder, cũng như “các thay đổi / sửa chữa thẩm mỹ” cho bảng điều khiển.

“Một số tính năng Vui nhộn đã được chuyển sang plugin tiêu chuẩn”, một thông báo đã dịch được chia sẻ vào ngày 16 tháng 4. “Trọng lượng của công trình đã giảm đi một chút. Sẽ không có phát hiện nào liên quan đến các chức năng này.”

Xem tiếp:   Phần mềm độc hại DDoS IRC Bot lây lan qua các nền tảng WebHard của Hàn Quốc

Bên cạnh kiến ​​trúc mô-đun và khuôn khổ plugin riêng, DCRat cũng bao gồm một thành phần quản trị viên được thiết kế để kích hoạt lén lút công tắc tiêu diệt, cho phép tác nhân đe dọa từ xa khiến công cụ không thể sử dụng được.

Về phần mình, tiện ích quản trị cho phép người đăng ký đăng nhập vào một máy chủ điều khiển và chỉ huy đang hoạt động, ra lệnh cho các điểm cuối bị nhiễm và gửi báo cáo lỗi, trong số những người khác.

Các vectơ phân phối được sử dụng để lây nhiễm cho các máy chủ bằng DCRat bao gồm Beacons và hệ thống định hướng lưu lượng (TDS) được gọi là Prometheus, một giải pháp phần mềm tội phạm dưới dạng dịch vụ (CaaS) dựa trên đăng ký được sử dụng để phân phối nhiều loại trọng tải.

Bộ cấy, ngoài việc thu thập siêu dữ liệu hệ thống, còn hỗ trợ khả năng giám sát, do thám, đánh cắp thông tin và tấn công DDoS. Nó cũng có thể chụp ảnh màn hình, ghi lại các lần gõ phím và lấy cắp nội dung từ khay nhớ tạm, Telegram và các trình duyệt web.

Các nhà nghiên cứu cho biết: “Các plugin mới và các bản cập nhật nhỏ được công bố hầu như mỗi ngày. “Nếu mối đe dọa đang được phát triển và duy trì bởi chỉ một người, có vẻ như đó là một dự án mà họ đang làm việc toàn thời gian.”

Xem tiếp:   Máy dò kim loại đi xuyên qua Garrett có thể bị tấn công từ xa

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …