Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости»

✔Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости»

21 января 2024 698 Новости / Изображения / Заработок / Отступы и поля / Видео уроки / Типы носителей / Блог для вебмастеров / Преимущества стилей / Самоучитель CSS / Формы 0

В конце 2023 года специалисты FACCT зафиксировали несколько фишинговых рассылок от хак-группы, которая обычно использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди целей злоумышленников были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании.



DarkCrystal RAT  – троян удаленного доступа, появившийся в продаже в 2019 году. Способен делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы cookie, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Написан на C# и имеет модульную структуру.



В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров.


Однако проанализировали содержимое рассылок, специалисты обнаружили новый троян удаленного доступа  —  RADX.


Исследователи рассказывают, что в конце ноября 2023 года злоумышленники рассылали с почты sergkovalev@b7s[.]ru фишинговые письма с темой «Оплата сервера». В письма содержалось два вида вложений: «скрин оплаты за сервер.zip» или  «скрин оплаты за сервер.pdf.zip».





В первом архиве содержался файл «скрин оплаты за сервер.scr», который устанавливал в системы жертв вышеупомянутый DarkCrystal RAT. В данном случае командным центром (C2) DarkCrystal RAT выступал IP-адрес 195.20.16[.]116.


Во втором архиве содержался лоадер «скрин оплаты за сервер.pdf.exe», который устанавливал на компьютеры пострадавших ранее неизвестную малварь, которую аналитики назвали RADX RAT. Дело в том, что анализируя обнаруженные на VirusTotal схожие образцы, принадлежащие данному семейству вредносов, удалось обнаружить в одном из них ASCII-арт «RAD-X», а также была обнаружена форма авторизации RADX.




Вскоре RADX RAT обнаружился в продаже на хакерском форуме. Оказалось, что малварь продают с октября 2023 года и рекламируют следующим образом: «самый лучший софт для работы с удаленным доступом и сбором секретной информации».





Также злоумышленники позиционируют RADX еще и как «самый дешевый RAT», предлагая его с новогодней скидкой с программой-стилером в придачу. Так, недельная аренда RADX со скидками обходится всего 175 рублей в месяц, а трехмесячная — 475 рублей.


Анализ вредоноса показал, что он обладает следующими возможностями:



  • сбор информации о видеокарте и процессоре (команда user_not_found);

  • сбор информации о скомпрометированном хосте, обращаясь к ресурсу http://ipinfo[.]io/json (команда user_not_found);

  • сбор информации из браузеров: Microsoft Edge, Chrome, Yandex Browser, Opera GX, Opera, Slimjet, Brave, Vivaldi” (команда backup_info);

  • сбор информации из расширений браузеров: Microsoft Edge и Chrome (команда backup_info);

  • сбор информации из криптокошельков: Exodus, Electrum и Coinomi (команда backup_info);

  • сбор токенов мессенджеров Telegram и Discord (команда backup_info);

  • создание скриншотов (команды stream_start и stream_stop);

  • открытие ссылок в браузере (команда open_link);

  • выполнение команд в оболочке командной строки cmd.exe (команда cmd);

  • загрузка файлов с управляющего сервера на скомпрометированный хост и их последующий запуск (команда upload_file);

  • поддержка VNC (эмуляция мыши и клавиатуры на скомпрометированном хосте) (команды vnc_start и vnc_stop);

  • закрепление в системе через создание задачи в планировщике заданий;

  • добавление исполняемого файла RADX RAT в исключение Windows Defender;

  • сбор файлов с расширениями *.txt, *.doc, *.docx, *.xlsx, *.xls в каталоге %USERPROFILE%Desktop (команда backup_info);

  • создание конфигурационного файла, содержащего информацию о скомпрометированном хосте %USERPROFILE%AppDataLocalPackagesMicrosoft.Windows.Accounts.ControlRCP_ruzxpnew4afconfig.json (команда user_not_found);

  • создание задачи MicrosoftWindowsControlRCP в планировщике заданий, которая запускает файл %USERPROFILE%AppDataLocalPackagesMicrosoft.Windows.Accounts.ControlRCP_ruzxpnew4af<название файла>.exe (например: AppLaunch.exe) каждый раз при входе пользователя в систему.


Кроме того отмечается, что в RADX RAT используется Fody.Costura версии 5.7.0 (плагин под фреймворк Fody версии 6.5.5.0 или 6.8.0.0) для сжатия и встраивания зависимостей как ресурсы в единую сборку, что упрощает развертывание вредоносной программы и уменьшает размер ее исполняемого файла.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В конце 2023 года специалисты FACCT зафиксировали несколько фишинговых рассылок от хак-группы, которая обычно использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди целей злоумышленников были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании. DarkCrystal RAT – троян удаленного доступа, появившийся в продаже в 2019 году. Способен делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы cookie, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Написан на C
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: