Siber güvenlik araştırmacıları, DarkVision RAT adı verilen ticari bir uzaktan erişim truva atı (RAT) sunmak için PureCrypter adlı bir kötü amaçlı yazılım yükleyicisinden yararlanan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Zscaler ThreatLabz tarafından Temmuz 2024’te gözlemlenen etkinlik, RAT yükünün teslim edilmesine yönelik çok aşamalı bir süreci içeriyor.
Güvenlik araştırmacısı Muhammed İrfan VA, bir analizde “DarkVision RAT, komut ve kontrol (C2) sunucusuyla özel bir ağ protokolünü kullanarak soketler aracılığıyla iletişim kuruyor” dedi.
“DarkVision RAT, tuş günlüğü tutma, uzaktan erişim, şifre hırsızlığı, ses kaydı ve ekran yakalama gibi ek yetenekleri etkinleştiren çok çeşitli komutları ve eklentileri destekler.”
İlk kez 2022’de kamuya duyurulan PureCrypter, abonelik esasıyla satışa sunulan, müşterilere bilgi hırsızlarını, RAT’ları ve fidye yazılımlarını dağıtma yeteneği sunan, kullanıma hazır bir kötü amaçlı yazılım yükleyicisidir.
PureCrypter’ı ve buna bağlı olarak DarkVision RAT’ı sunmak için kullanılan tam başlangıç erişim vektörü tam olarak açık değildir, ancak açık kaynaklı Donut yükleyicinin şifresini çözmekten ve başlatmaktan sorumlu bir .NET yürütülebilir dosyasının önünü açmaktadır.
Donut yükleyici daha sonra PureCrypter’ı başlatmaya devam eder; bu, DarkVision’ın paketini açar ve yükler, aynı zamanda kalıcılığı ayarlar ve RAT tarafından kullanılan dosya yolları ve işlem adlarını Microsoft Defender Antivirus hariç tutma listesine ekler.
Kalıcılık, ITaskService COM arabirimini, otomatik çalıştırma anahtarlarını kullanarak zamanlanmış görevleri ayarlayarak ve RAT yürütülebilir dosyasını yürütmek için bir komut içeren bir toplu komut dosyası oluşturarak ve Windows başlangıç klasörüne toplu komut dosyasına bir kısayol yerleştirerek elde edilir.
İlk olarak 2020’de ortaya çıkan RAT, bir clearnet sitesinde tek seferlik ödeme karşılığında 60 dolar gibi düşük bir ücret karşılığında reklamı yapılıyor ve tehdit aktörleri ve çok az teknik bilgisi olan ve kendi ağlarını kurmak isteyen hevesli siber suçlular için cazip bir teklif sunuyor. kendi saldırıları.
“Optimum performans” için C++ ve derlemede (diğer adıyla ASM) geliştirilen RAT, süreç enjeksiyonu, uzak kabuk, ters proxy, pano manipülasyonu, tuş günlüğü tutma, ekran görüntüsü yakalama ve çerez ve şifre kurtarmaya olanak tanıyan kapsamlı bir özellikler seti ile birlikte gelir. diğerlerinin yanı sıra web tarayıcılarından.
Ayrıca sistem bilgilerini toplamak ve bir C2 sunucusundan gönderilen ek eklentileri almak, işlevselliğini daha da artırmak ve operatörlere virüs bulaşmış Windows ana bilgisayarı üzerinde tam kontrol sağlamak üzere tasarlanmıştır.
Zscaler, “DarkVision RAT, siber suçlular için güçlü ve çok yönlü bir aracı temsil ediyor ve tuş kaydı ve ekran yakalamadan şifre hırsızlığı ve uzaktan yürütmeye kadar çok çeşitli kötü amaçlı yetenekler sunuyor.” dedi.
“Bu çok yönlülük, düşük maliyeti ve hack forumlarında ve web sitelerinde bulunabilirliğiyle birleştiğinde DarkVision RAT’ı saldırganlar arasında giderek daha popüler hale getirdi.”