VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch phần mềm độc hại mới sử dụng trình tải phần mềm độc hại có tên PureCrypter để phát tán trojan truy cập từ xa (RAT) phổ biến có tên là DarkVision RAT.

Hoạt động này, được Zscaler ThreatLabz quan sát vào tháng 7 năm 2024, bao gồm một quy trình nhiều giai đoạn để phân phối phần mềm độc hại RAT.


"DarkVision RAT giao tiếp với máy chủ chỉ huy và điều khiển (C2) bằng giao thức mạng tùy chỉnh thông qua socket", nhà nghiên cứu bảo mật Muhammed Irfan VA cho biết trong một bài phân tích.

"DarkVision RAT hỗ trợ nhiều lệnh và plugin cho phép thực hiện các chức năng bổ sung như ghi lại phím bấm, truy cập từ xa, đánh cắp mật khẩu, ghi âm và chụp màn hình."

PureCrypter, lần đầu tiên được công bố vào năm 2022, là một trình tải phần mềm độc hại có sẵn để bán theo hình thức đăng ký, cung cấp cho khách hàng khả năng phân phối phần mềm đánh cắp thông tin, RAT và ransomware.

Vectơ truy cập ban đầu chính xác được sử dụng để phân phối PureCrypter và mở rộng ra là DarkVision RAT vẫn chưa thực sự rõ ràng, mặc dù nó mở đường cho một tệp thực   Đăng nhập để xem liên kết chịu trách nhiệm giải mã và khởi chạy trình tải Donut nguồn mở.

Trình tải Donut sau đó sẽ tiến hành khởi chạy PureCrypter, cuối cùng sẽ giải nén và tải DarkVision, đồng thời thiết lập tính bền bỉ và thêm đường dẫn tệp và tên quy trình được RAT sử dụng vào danh sách loại trừ của Microsoft Defender Antivirus.


Tính bền bỉ đạt được bằng cách thiết lập các tác vụ theo lịch trình bằng giao diện ITaskService COM, các phím chạy tự động và tạo một tập lệnh hàng loạt chứa lệnh để thực thi tệp thực thi RAT và đặt một phím tắt đến tập lệnh hàng loạt trong thư mục khởi động Windows.

RAT, lần đầu xuất hiện vào năm 2020, được quảng cáo trên một trang web clearnet với giá chỉ 60 đô la cho một lần thanh toán, đưa ra lời đề xuất hấp dẫn cho những kẻ đe dọa và tội phạm mạng đầy tham vọng có ít hiểu biết về kỹ thuật nhưng muốn thực hiện các cuộc tấn công của riêng mình.

Được phát triển bằng C++ và assembly (hay còn gọi là ASM) để có "hiệu suất tối ưu", RAT tích hợp một bộ tính năng mở rộng cho phép đưa tiến trình vào, shell từ xa, proxy ngược, thao tác clipboard, ghi lại phím bấm, chụp ảnh màn hình và khôi phục cookie và mật khẩu từ trình duyệt web, cùng nhiều tính năng khác.

Nó cũng được thiết kế để thu thập thông tin hệ thống và nhận các plugin bổ sung được gửi từ máy chủ C2, tăng cường chức năng hơn nữa và cấp cho người điều hành quyền kiểm soát hoàn toàn đối với máy chủ Windows bị nhiễm.

Zscaler cho biết: "DarkVision RAT là một công cụ mạnh mẽ và linh hoạt dành cho tội phạm mạng, cung cấp nhiều khả năng gây hại, từ ghi lại thao tác phím và chụp màn hình đến đánh cắp mật khẩu và thực thi từ xa".

"Tính linh hoạt này, kết hợp với chi phí thấp và khả năng truy cập trên các diễn đàn hack và trang web của họ, đã khiến DarkVision RAT ngày càng phổ biến trong giới tin tặc."