Para facilitar a vida do crime cibernético, começa a se espalhar uma nova modalidade de aluguel de trojan. Esse trojan de acesso remoto (RAT) econômico que está em desenvolvimento ativo está sendo vendido em fóruns russos clandestinos por cerca de US$ 7 por uma assinatura de dois meses. É o que afirmam pesquisadores da BlackBerry.
O malware backdoor do Windows, apelidado de DCRat ou DarkCrystal RAT, foi lançado em 2018, depois redesenhado e relançado no ano seguinte. Um indivíduo que usa os nomes boldenis44, crystalcoder e (Coder) desenvolveu o RAT e trabalha para melhorá-lo diariamente.
Apesar de seu preço bem em conta, e sendo o trabalho de um desenvolvedor solitário, em oposição ao malware personalizado vendido por uma rede criminosa sofisticada e bem financiada, os criminosos podem realizar uma série de atos ilegais com o DCRat devido à sua arquitetura modular e estrutura de plug-in. Isso inclui espionagem e roubo de dados, ataques distribuídos de negação de serviço e execução dinâmica de código em várias linguagens diferentes, escreveu a equipe de pesquisa da BlackBerry em sua análise.
Espera-se que o DCRat seja implantado em uma rede uma vez que um malfeitor tenha invadido, como explorando alguma vulnerabilidade ou obtendo ou adivinhando as credenciais de um usuário. A ferramenta é usada para controlar remotamente os sistemas comprometidos e as cópias só podem ser usadas enquanto uma assinatura paga estiver ativa. O produto possui três componentes:
- Um executável cliente escrito em .NET que pode roubar dados
- Uma única página PHP que faz interface com o servidor de comando e controle (C2) de back-end do RAT
- Uma ferramenta de administração
“O RAT atualmente parece estar em desenvolvimento ativo”, de acordo com a equipe de pesquisa do BlackBerry. “A ferramenta do administrador e o backdoor/cliente são atualizados regularmente com correções de bugs e novos recursos; o mesmo se aplica aos plugins lançados oficialmente.”
Trojan bom e barato é vendido por US$ 7 na Rússia
A ferramenta de administrador DCRat é escrita em JPHP, o que é raro, porque produz executáveis muito grandes e lentos, observaram os pesquisadores de segurança. Ele também possui um kill switch que, se acionado, inutiliza todas as instâncias da ferramenta de administrador.
No entanto, uma vez que as verificações de validação da assinatura são concluídas, e assumindo que o kill switch não foi acionado, o assinante do malware pode usar a ferramenta de administrador para se comunicar com o servidor de comando e controle, configurar compilações do executável do cliente e até mesmo enviar bug relatórios para o autor DCRat. E todo o pacote, junto com plugins, framework de desenvolvimento de plugins e outras ferramentas estão hospedados em crystalfiles[.]ru.
Anteriormente, eles estavam localizados em dcrat[.]ru, até que uma análise da Mandiant em maio de 2020 levou o autor do malware a mover o software desagradável para um novo domínio.
Os pesquisadores de segurança também observaram que, nos últimos meses, os clientes DCRat estão sendo implantados com beacons Cobalt Strike por meio do Prometheus TDS (sistema de direção de tráfego).
Fóruns da Dark Web
Embora o marketing, as vendas e algumas consultas de pré-venda sejam feitas através do fórum russo de crimes cibernéticos lolz[.]guru, a BlackBerry disse que o DCRat pode ser vendido em outros fóruns ou na dark web.
O nome de arquivo mais comum para distribuição, em diferentes versões do RAT, parece ser 1ac770ea1c2b508fb3f74de6e65bc9c4[.]zip.
As atualizações são anunciadas por meio de um canal do Telegram, que tem cerca de 3.000 assinantes.
E os preços, excluindo quaisquer descontos promocionais, que o autor do malware às vezes oferece, são:
- 500 RUB (cerca de US $ 7 no momento da redação) para licença de dois meses
- 2.200 RUB (US$ 31) por um ano
- 4200 RUB ($60) para uma licença vitalícia
Tanto o baixo preço do produto quanto o uso do JPHP pelo autor indicam “um autor de malware novato que ainda não descobriu uma estrutura de preços apropriada”, afirmaram os analistas da BlackBerry. No entanto, isso não significa que o DCRat deva ser ignorado.
“De um modo geral, você recebe o que paga, mesmo em malware. Se você paga uma ninharia por algo, seria sensato esperar que fosse menos funcional ou mal suportado”, disse. “Mas o DCRat parece quebrar essa regra de uma forma que é profundamente desconcertante.”
O software desagradável parece ser um trabalho de tempo integral para o desenvolvedor solitário, que dedica “muito tempo e esforço para agradar seus clientes”, escreveu a equipe.
“Isso reforça a ideia de que não são apenas os Contis e REvils do mundo que os profissionais de segurança precisam se preocupar, eles concluíram: “Malcriadores com muito tempo em suas mãos muitas vezes podem causar tanto aborrecimento”.
A equipe do Blackberry compartilhou indicadores de comprometimento e outros detalhes técnicos caso você queira verificar sua rede em busca desse código malicioso.
Via TheRegister