Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
Siber güvenlik araştırmacıları, DarkVision RAT adlı bir emtia uzaktan erişim truva atı (RAT) sunmak için PureCrypter adlı bir kötü amaçlı yazılım yükleyicisinden yararlanan yeni bir kötü amaçlı yazılım kampanyasını açıkladı.
Zscaler ThreatLabz tarafından Temmuz 2024'te gözlemlenen etkinlik, RAT yükünü teslim etmek için çok aşamalı bir süreci içeriyor.
Güvenlik araştırmacısı Muhammed Irfan V A bir analizde, "DarkVision RAT, soketler aracılığıyla özel bir ağ protokolü kullanarak komuta ve kontrol (C2) sunucusuyla iletişim kuruyor" dedi.
"DarkVision RAT, tuş kaydı, uzaktan erişim, parola hırsızlığı, ses kaydı ve ekran yakalama gibi ek yetenekleri etkinleştiren çok çeşitli komutları ve eklentileri destekler."
İlk olarak 2022'de kamuya açıklanan PureCrypter, abonelik esasına göre satışa sunulan ve müşterilere bilgi hırsızları, RAT'ler ve fidye yazılımları dağıtma olanağı sunan, kullanıma hazır bir kötü amaçlı yazılım yükleyicisidir.
PureCrypter'ı ve buna bağlı olarak DarkVision RAT'ı sunmak için kullanılan tam ilk erişim vektörü tam olarak net değildir, ancak açık kaynaklı Donut yükleyicisinin şifresini çözmekten ve başlatmaktan sorumlu bir .NET yürütülebilir dosyasının önünü açar.
Donut yükleyici daha sonra PureCrypter'ı başlatmaya devam eder, bu da sonuçta DarkVision'ı açar ve yükler, aynı zamanda kalıcılığı ayarlarken ve RAT tarafından kullanılan dosya yollarını ve işlem adlarını Microsoft Defender Antivirus dışlamalar listesine ekler.
Kalıcılık, ITaskService COM arabirimi, otomatik çalıştırma anahtarları kullanılarak zamanlanmış görevler ayarlanarak ve RAT yürütülebilir dosyasını yürütmek için bir komut içeren bir toplu komut dosyası oluşturarak ve Windows başlangıç klasörüne toplu iş komut dosyasına bir kısayol yerleştirerek elde edilir.
İlk olarak 2020'de ortaya çıkan RAT, bir kerelik ödeme için 60 $ gibi düşük bir fiyata bir clearnet sitesinde tanıtılıyor ve kendi saldırılarını düzenlemek isteyen tehdit aktörleri ve çok az teknik bilgiye sahip hevesli siber suçlular için cazip bir teklif sunuyor.
"Optimum performans" için C++ ve montajda (diğer adıyla ASM) geliştirilen RAT, diğerlerinin yanı sıra işlem enjeksiyonu, uzak kabuk, ters proxy, pano manipülasyonu, keylogging, ekran görüntüsü yakalama ve web tarayıcılarından çerez ve parola kurtarmaya izin veren kapsamlı bir dizi özellik ile birlikte gelir.
Ayrıca, sistem bilgilerini toplamak ve bir C2 sunucusundan gönderilen ek eklentileri almak, işlevselliğini daha da artırmak ve operatörlere virüslü Windows ana bilgisayarı üzerinde tam kontrol sağlamak için tasarlanmıştır.
Zscaler, "DarkVision RAT, siber suçlular için güçlü ve çok yönlü bir aracı temsil ediyor ve keylogging ve ekran yakalamadan parola hırsızlığına ve uzaktan yürütmeye kadar çok çeşitli kötü amaçlı yetenekler sunuyor" dedi.
"Bu çok yönlülük, düşük maliyeti ve hack forumlarında ve web sitelerinde bulunabilirliği ile birleştiğinde, DarkVision RAT'ı saldırganlar arasında giderek daha popüler hale getirdi."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı