Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакер из Сирии организовал RAT-маркет для коллег

23/08/23

285c_shutterstock_2160496255

Преступник, известный в киберподполье под псевдонимом EVLF DEV, продаёт вредоносные программы CraxsRAT двух типов. По информации исследователей, хакер базируется в Сирии уже 8 лет. На распространении троянов он успел заработать около 75 000 долларов.

Кибербезопасная компания Cyfirma также выяснила, что последние три года злоумышленник в основном предлагает клиентам модель «malware-as-a-service» (MaaS), то есть коммерческую практику, при которой вредоносное ПО предоставляется в виде услуги.

RAT — один из самых опасных троянских вирусов для операционной системы Android, пишет Securitylab. По данным Cyfirma, EVLF DEV уже продал не менее 100 пожизненных лицензий на использование этой программы.

CraxsRAT обеспечивает высокоуровневую обфускацию («затемнение») кода, позволяя адаптировать его для конкретного типа атаки, включая возможность инъекций в WebView.

Билдер (инструмент для создания) CraxsRAT также включает в себя опцию быстрой установки. Она минимизирует количество требуемых разрешений, чтобы ускользнуть от систем безопасности. Однако после установки, покупатель может активировать дополнительные разрешения. Интересная особенность — так называемый «супермод», который препятствует удалению вируса с устройства.

На инфицированных устройствах CraxsRAT способен определить геолокацию, прочитать и скопировать контакты, получить доступ к файловой системе, а также к сообщениям и истории вызовов пользователя.

В ходе исследований Cyfirma обнаружила активный Telegram-канал с более чем 10 000 подписчиками, принадлежащий EVLF DEV, а также криптовалютный кошелек, который раскрывал его финансовую активность. Компания обратилась к провайдеру кошелька с просьбой временно заморозить активы.

После заморозки средств на счету EVLF DEV создал обсуждение на форуме о криптовалютах, что позволило специалистам собрать дополнительную информацию о нем, включая реальное имя, различные ники, IP-адрес и электронную почту.

«На основе проведенного нами расследования, можно с высокой долей уверенности утверждать, что за деятельностью EVLF DEV все же стоит человек из Сирии» — подчеркнули представители Cyfirma.

Темы:Угрозывирусы на продажуRAT-трояныCyfirma
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...