Gizli SeroXen RAT, Windows 11 ve 10 için yasal bir RAT olarak ayda yalnızca 15-30 ABD Doları karşılığında mevcuttur ve alıcılar 60 ABD Doları karşılığında ömür boyu lisans alır.
Dosyasız bir RAT (uzaktan erişim truva atı), siber suçluların oyuncuları hedeflemesi için tercih edilen araç haline geldi. AT&T’nin bir raporuna göre, SeroXen adlı kötü amaçlı yazılım, bilgisayar korsanı forumlarında ve sosyal medya kuruluşlarında yasal bir program olarak dağıtılıyor.
SeroXen RAT’in Analizi:
SeroXen RAT, statik ve dinamik analizde mükemmel tespitten kaçınma özelliklerine sahiptir. r77-rootkit, Quasar RAT ve NirCmd dahil olmak üzere farklı açık kaynak projelerinin bir kombinasyonundan kaynaklandığı için, yetenekleri daha da geliştirilerek güçlü bir RAT haline gelir.
Bilgin olsun, Quasar RAT, 2014 yılında keşfedilen ve GitHub’da ücretsiz olarak sunulan hafif bir uzaktan yönetim aracıdır. Quasar’ın en son sürümü (1.41), uzak masaüstü, ters proxy, TLS iletişimi, uzak kabuk ve bir dosya yönetim sistemi gibi çeşitli işlevlere sahiptir.
Tersine, açık kaynaklı r77 rootkit ayrıca dosyasız kalıcılık, bellek içi işlem enjeksiyonu, kötü amaçlı yazılım yerleştirme, alt süreç çengelleme ve antivirüs kaçırma yeteneklerine sahiptir. Ücretsiz bir yardımcı program olan NirCmd, Windows sistem yönetimi görevlerini yalnızca komut satırından gerçekleştirebilir.
Nasıl Teslim Edilir?
SeroXen RAT, kimlik avı e-postaları veya Discord kanalları aracılığıyla gönderilir. Saldırı senaryosu, bir ZIP dosyasının ve gizli bir toplu iş dosyasının indirilmesini içerir. Bu dosya otomatik olarak yürütülür ve birkaç adımdan sonra son yük, sonunda iki .NET dizisi olarak yüklenir. Bunlardan biri, dosyasız kalıcılık, EDR kaçırma, bellek içi işlem enjeksiyonu ve işlev çengelleme gibi çok yönlü yeteneklere sahip bir rootkit’tir.
Düşük Maliyetli Bir RAT Hedefleme Oyun Topluluğu
Gizli SeroXen kötü amaçlı yazılımı, Windows 11 ve 10 için yasal bir RAT olarak ayda yalnızca 15-30 ABD Doları karşılığında ve 60 ABD Doları karşılığında alıcılar ömür boyu lisans alıyor. Bu RAT, bu kadar düşük bir maliyetle tehdit aktörleri için çok çekici olabilir.
Kötü amaçlı yazılımı satışa sunanların SeroXen’in geliştiricileri mi yoksa satıcıları mı olduğu hala net değil. Bununla birlikte, AT&T’nin blog gönderisine göre şirket, kötü amaçlı yazılımın ilk olarak Eylül 2022’de ortaya çıkmasından bu yana yüzlerce örneği analiz etti ve hedef çoğunlukla oyun topluluğu.
Ancak, SeroXen’in kolay erişilebilirliği ve düşük maliyeti göz önüne alındığında, saldırganlar saldırının kapsamını genişletebilir. Bir siber güvenlik araştırmacısı olan CyberSec Zaado’nun SeroXen RAT’ı ifşa etmesini ve savunmacı bir bakış açısıyla toplumu yetenekleri konusunda uyarmasını izleyin.
SeroXen- Saptanamayan Bir RAT?
Araştırmacılar, şu anda hiçbir kötü amaçlı yazılımdan koruma aracının bu kötü amaçlı yazılımı tespit edemediğini belirtti, bu nedenle araştırmacılar onu “tamamen tespit edilemez bir sürüm” olarak adlandırdı.
“RAT, gizlenmiş bir PowerShell toplu iş dosyasına paketlendiğinden beri. 21 Mayıs’ta VT’ye yüklenen 8ace121fae472cc7ce896c91a3f1743d5ccc8a389bc3152578c4782171c69e87 örneğinde de görebileceğimiz gibi, dosyanın boyutu tipik olarak 12-14 megabayt arasında değişiyor. Nispeten büyük boyutu nedeniyle, bazı antivirüsler dosyayı analiz etmemeyi seçerek algılamayı potansiyel olarak atlayabilir,” AT&T Alien Lab raporu Okumak.
AT&T araştırmacıları tarafından analiz edilen numunede Virus Total’de 0 tespit bulunurken, bazı kitle kaynaklı Sigma Kuralları bunu şüpheli aktivite olarak tespit etti. Bununla birlikte, çok sayıda açma ve şifre çözme rutininden geçtikten sonra bellekte çalışan cansız bir kötü amaçlı yazılım olduğu düşünülürse, antivirüs çözümlerinin onu algılaması zordur.
Ayrıca, SeroXen’in araç seti, ntdll.dll dosyasının yeni bir kopyasını yükleyerek kötü amaçlı yazılımın EDR (uç nokta algılama ve yanıt) çözümleri aracılığıyla algılanmasını daha da zorlaştırır.
İLGİLİ MAKALELER
- Nodersok dosyasız kötü amaçlı yazılımın bulaştığı Windows PC’ler
- Oyuncular, oyun hile kodlarıyla yeni kötü amaçlı yazılım saldırısına maruz kaldı
- NSA İstismarını Kullanan Dosyasız WannaMine Cryptojacking Kötü Amaçlı Yazılımı
- Dark Frost Botnet’in Vurduğu Oyun Firmaları ve Topluluk Üyeleri
- Dosyasız Kötü Amaçlı Yazılımların Yükselişi: 100’den Fazla Devlet Kuruluşu Saldırı Altında