Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости»

✔Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости»

21 января 2024 500 Новости / Изображения / Заработок / Отступы и поля / Видео уроки / Типы носителей / Блог для вебмастеров / Преимущества стилей / Самоучитель CSS / Формы 0

В конце 2023 года специалисты FACCT зафиксировали несколько фишинговых рассылок от хак-группы, которая обычно использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди целей злоумышленников были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании.



DarkCrystal RAT  – троян удаленного доступа, появившийся в продаже в 2019 году. Способен делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы cookie, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Написан на C# и имеет модульную структуру.



В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров.


Однако проанализировали содержимое рассылок, специалисты обнаружили новый троян удаленного доступа  —  RADX.


Исследователи рассказывают, что в конце ноября 2023 года злоумышленники рассылали с почты sergkovalev@b7s[.]ru фишинговые письма с темой «Оплата сервера». В письма содержалось два вида вложений: «скрин оплаты за сервер.zip» или  «скрин оплаты за сервер.pdf.zip».





В первом архиве содержался файл «скрин оплаты за сервер.scr», который устанавливал в системы жертв вышеупомянутый DarkCrystal RAT. В данном случае командным центром (C2) DarkCrystal RAT выступал IP-адрес 195.20.16[.]116.


Во втором архиве содержался лоадер «скрин оплаты за сервер.pdf.exe», который устанавливал на компьютеры пострадавших ранее неизвестную малварь, которую аналитики назвали RADX RAT. Дело в том, что анализируя обнаруженные на VirusTotal схожие образцы, принадлежащие данному семейству вредносов, удалось обнаружить в одном из них ASCII-арт «RAD-X», а также была обнаружена форма авторизации RADX.




Вскоре RADX RAT обнаружился в продаже на хакерском форуме. Оказалось, что малварь продают с октября 2023 года и рекламируют следующим образом: «самый лучший софт для работы с удаленным доступом и сбором секретной информации».





Также злоумышленники позиционируют RADX еще и как «самый дешевый RAT», предлагая его с новогодней скидкой с программой-стилером в придачу. Так, недельная аренда RADX со скидками обходится всего 175 рублей в месяц, а трехмесячная — 475 рублей.


Анализ вредоноса показал, что он обладает следующими возможностями:



  • сбор информации о видеокарте и процессоре (команда user_not_found);

  • сбор информации о скомпрометированном хосте, обращаясь к ресурсу http://ipinfo[.]io/json (команда user_not_found);

  • сбор информации из браузеров: Microsoft Edge, Chrome, Yandex Browser, Opera GX, Opera, Slimjet, Brave, Vivaldi” (команда backup_info);

  • сбор информации из расширений браузеров: Microsoft Edge и Chrome (команда backup_info);

  • сбор информации из криптокошельков: Exodus, Electrum и Coinomi (команда backup_info);

  • сбор токенов мессенджеров Telegram и Discord (команда backup_info);

  • создание скриншотов (команды stream_start и stream_stop);

  • открытие ссылок в браузере (команда open_link);

  • выполнение команд в оболочке командной строки cmd.exe (команда cmd);

  • загрузка файлов с управляющего сервера на скомпрометированный хост и их последующий запуск (команда upload_file);

  • поддержка VNC (эмуляция мыши и клавиатуры на скомпрометированном хосте) (команды vnc_start и vnc_stop);

  • закрепление в системе через создание задачи в планировщике заданий;

  • добавление исполняемого файла RADX RAT в исключение Windows Defender;

  • сбор файлов с расширениями *.txt, *.doc, *.docx, *.xlsx, *.xls в каталоге %USERPROFILE%Desktop (команда backup_info);

  • создание конфигурационного файла, содержащего информацию о скомпрометированном хосте %USERPROFILE%AppDataLocalPackagesMicrosoft.Windows.Accounts.ControlRCP_ruzxpnew4afconfig.json (команда user_not_found);

  • создание задачи MicrosoftWindowsControlRCP в планировщике заданий, которая запускает файл %USERPROFILE%AppDataLocalPackagesMicrosoft.Windows.Accounts.ControlRCP_ruzxpnew4af<название файла>.exe (например: AppLaunch.exe) каждый раз при входе пользователя в систему.


Кроме того отмечается, что в RADX RAT используется Fody.Costura версии 5.7.0 (плагин под фреймворк Fody версии 6.5.5.0 или 6.8.0.0) для сжатия и встраивания зависимостей как ресурсы в единую сборку, что упрощает развертывание вредоносной программы и уменьшает размер ее исполняемого файла.


В конце 2023 года специалисты FACCT зафиксировали несколько фишинговых рассылок от хак-группы, которая обычно использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди целей злоумышленников были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании. DarkCrystal RAT – троян удаленного доступа, появившийся в продаже в 2019 году. Способен делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы cookie, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Написан на C
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: