Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor

Zscaler ThreatLabz tarafından Temmuz 2024'te gözlemlenen etkinlik, RAT yükünü teslim etmek için çok aşamalı bir süreci içeriyor.

Güvenlik araştırmacısı Muhammed Irfan V A bir analizde, "DarkVision RAT, soketler aracılığıyla özel bir ağ protokolü kullanarak komuta ve kontrol (C2) sunucusuyla iletişim kuruyor" dedi.

"DarkVision RAT, tuş kaydı, uzaktan erişim, parola hırsızlığı, ses kaydı ve ekran yakalama gibi ek yetenekleri etkinleştiren çok çeşitli komutları ve eklentileri destekler."

İlk olarak 2022'de kamuya açıklanan PureCrypter, abonelik esasına göre satışa sunulan ve müşterilere bilgi hırsızları, RAT'ler ve fidye yazılımları dağıtma olanağı sunan, kullanıma hazır bir kötü amaçlı yazılım yükleyicisidir.

PureCrypter'ı ve buna bağlı olarak DarkVision RAT'ı sunmak için kullanılan tam ilk erişim vektörü tam olarak net değildir, ancak açık kaynaklı Donut yükleyicisinin şifresini çözmekten ve başlatmaktan sorumlu bir .NET yürütülebilir dosyasının önünü açar.

Donut yükleyici daha sonra PureCrypter'ı başlatmaya devam eder, bu da sonuçta DarkVision'ı açar ve yükler, aynı zamanda kalıcılığı ayarlarken ve RAT tarafından kullanılan dosya yollarını ve işlem adlarını Microsoft Defender Antivirus dışlamalar listesine ekler.

Kalıcılık, ITaskService COM arabirimi, otomatik çalıştırma anahtarları kullanılarak zamanlanmış görevler ayarlanarak ve RAT yürütülebilir dosyasını yürütmek için bir komut içeren bir toplu komut dosyası oluşturarak ve Windows başlangıç klasörüne toplu iş komut dosyasına bir kısayol yerleştirerek elde edilir.

İlk olarak 2020'de ortaya çıkan RAT, bir kerelik ödeme için 60 $ gibi düşük bir fiyata bir clearnet sitesinde tanıtılıyor ve kendi saldırılarını düzenlemek isteyen tehdit aktörleri ve çok az teknik bilgiye sahip hevesli siber suçlular için cazip bir teklif sunuyor.

"Optimum performans" için C++ ve montajda (diğer adıyla ASM) geliştirilen RAT, diğerlerinin yanı sıra işlem enjeksiyonu, uzak kabuk, ters proxy, pano manipülasyonu, keylogging, ekran görüntüsü yakalama ve web tarayıcılarından çerez ve parola kurtarmaya izin veren kapsamlı bir dizi özellik ile birlikte gelir.

Ayrıca, sistem bilgilerini toplamak ve bir C2 sunucusundan gönderilen ek eklentileri almak, işlevselliğini daha da artırmak ve operatörlere virüslü Windows ana bilgisayarı üzerinde tam kontrol sağlamak için tasarlanmıştır.

Zscaler, "DarkVision RAT, siber suçlular için güçlü ve çok yönlü bir aracı temsil ediyor ve keylogging ve ekran yakalamadan parola hırsızlığına ve uzaktan yürütmeye kadar çok çeşitli kötü amaçlı yetenekler sunuyor" dedi.

"Bu çok yönlülük, düşük maliyeti ve hack forumlarında ve web sitelerinde bulunabilirliği ile birleştiğinde, DarkVision RAT'ı saldırganlar arasında giderek daha popüler hale getirdi."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği