Table of Contents
Campanha de Malware: PureCrypter e DarkVision RAT
Pesquisadores de cibersegurança revelaram uma nova campanha de malware que utiliza um carregador de malware chamado PureCrypter para disseminar um trojan de acesso remoto (RAT) conhecido como DarkVision RAT.
Descrição da Atividade Maliciosa
A atividade foi observada pelo Zscaler ThreatLabz em julho de 2024, envolvendo um processo de múltiplas etapas para a entrega do payload do RAT.
“DarkVision RAT comunica-se com seu servidor de comando e controle (C2) utilizando um protocolo de rede personalizado via sockets,” afirmou o pesquisador de segurança Muhammed Irfan V A em uma análise publicada.
Funcionalidades do DarkVision RAT
O DarkVision RAT suporta uma ampla gama de comandos e plugins que habilitam capacidades adicionais, como:
- Registros de teclas (keylogging)
- Acesso remoto
- Roubo de senhas
- Gravação de áudio
- Captura de tela
PureCrypter: O Carregador de Malware
O PureCrypter, que foi publicamente revelado em 2022, é um carregador de malware “off-the-shelf” disponível à venda por meio de assinatura, permitindo que os clientes distribuam stealer de informações, RATs e ransomware.
Veículo de Acesso Inicial
Ainda não está claro o vetor de acesso inicial exato utilizado para entregar o PureCrypter e, por extensão, o DarkVision RAT. Contudo, o processo inicia com um executável .NET que é responsável por descriptografar e lançar o Donut loader.
O Donut loader, em seguida, inicia o PureCrypter, que desmonta e carrega o DarkVision, ao mesmo tempo que configura a persistência e adiciona os caminhos de arquivo e nomes de processo utilizados pelo RAT à lista de exclusões do Microsoft Defender Antivirus.
Técnicas de Persistência
A persistência é alcançada por meio da configuração de tarefas agendadas utilizando a interface COM ITaskService, chaves autorun e a criação de um script em lote que contém um comando para executar o executável do RAT, além de colocar um atalho para o script em lote na pasta de inicialização do Windows.
Características do DarkVision RAT
O RAT, que surgiu inicialmente em 2020, é anunciado em um site da clearnet por um valor tão baixo quanto $60 por um pagamento único, oferecendo uma proposta atraente para atores de ameaças e aspirantes a cibercriminosos com pouco conhecimento técnico que desejam conduzir seus próprios ataques.
Desenvolvido em C++ e assembly (também conhecido como ASM) para “otimização de desempenho”, o RAT possui um conjunto extenso de recursos que permite:
- Injeção de processos
- Shell remoto
- Proxy reverso
- Manipulação da área de transferência
- Captura de tela
- Recuperação de cookies e senhas de navegadores da web
Coleta de Informações do Sistema
O DarkVision RAT é projetado para coletar informações do sistema e receber plugins adicionais enviados de um servidor C2, ampliando assim ainda mais sua funcionalidade e concedendo aos operadores controle completo sobre o host Windows infectado.
“DarkVision RAT representa uma ferramenta poderosa e versátil para cibercriminosos, oferecendo uma ampla gama de capacidades maliciosas, desde registro de teclas e captura de tela até roubo de senhas e execução remota,” afirmou o Zscaler.
“Essa versatilidade, combinada com seu baixo custo e disponibilidade em fóruns de hacking e seu site, fez do DarkVision RAT cada vez mais popular entre os atacantes.”
#Malware, #Cibersegurança, #DarkVisionRAT, #PureCrypter, #CyberThreats, #Keylogging, #RemoteAccess
Fonte:https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html