02/06/23
Специалисты AT&T обнаружили новый троян удалённого доступа под названием SeroXen RAT, который в последнее время стал крайне популярным среди киберпреступников за счёт своей высокой скрытности и мощных возможностей, передает Securitylab.
На легитимных площадках вредонос продаётся как абсолютно законная программа для удалённого управления компьютерами с Windows 10 и 11 на борту. Цена смешная — 15 долларов в месяц или 60 долларов за «пожизненную» лицензию.
Однако платформа киберразведки Flare Systems обнаружила, что на хакерских форумах SeroXen рекламируется как троян удаленного доступа. И абсолютно неясно, являются ли те лица, кто продвигает троян на форумах, его разработчиками или просто мошенническими «перекупами».
Низкая стоимость трояна делает его очень доступным для злоумышленников. AT&T отмечает сотни образцов с момента его создания в сентябре 2022 года, причем активность все ещё растёт.
Большинство жертв SeroXen — простые геймеры, но по мере роста популярности инструмента целевая аудитория может расшириться и включать крупные компании и организации.
SeroXen основан на различных открытых проектах, включая Quasar RAT, r77 rootkit и NirCmd. «Разработчик SeroXen выявил сильное сочетание бесплатных ресурсов для создания трудно обнаруживаемого при статическом и динамическом анализе трояна. Использование открытого трояна Quasar, который появился почти десять лет назад, даёт прочную основу, а сочетание NirCMD и r77-rootkit — логичное дополнения к смеси, так как они делают инструмент гораздо более скрытным», — комментирует AT&T в своём отчёте .
Quasar RAT — это инструмент для удалённого администрирования, впервые выпущенный в 2014 году. Его последняя версия, 1.41, имеет функции обратного прокси, удалённой оболочки, удалённого рабочего стола, TLS-связи и системы управления файлами. Инструмент находится в свободном доступе через GitHub.
r77 (Ring 3) rootkit — это открытый руткит, который предлагает безфайловое постоянство в целевой системе, перехват дочерних процессов, внедрение вредоносного кода, инъекцию процессов в памяти и обход антивирусов.
NirCmd — это бесплатная утилита, которая выполняет простые задачи по управлению системой Windows и периферийными устройствами из командной строки.
AT&T зафиксировала атаки с использованием SeroXen через фишинговые электронные письма или каналы Discord, где киберпреступники распространяют ZIP-архивы, содержащие сильно обфусцированные пакетные файлы. Из них извлекается пара двоичных файлов в кодировке base64 и загружается в память с помощью .NET Reflection.
Единственный файл, который затрагивает диск устройства — это модифицированная версия msconfig.exe, которая необходима для выполнения вредоносной программы и временно хранится в каталоге «C:\Windows \System32» Обратите внимание на дополнительный пробел после «Windows», который удаляется сразу после установки программы.
В конечном итоге, на целевом устройстве развертывается полезная нагрузка под названием «InstallStager.exe», один из вариантов r77 rootkit. Он хранится в обфусцированной форме в реестре Windows и позже активируется с помощью PowerShell через «Планировщик заданий», внедряясь в процесс «winlogon.exe».
Руткит интегрирует троян SeroXen в память системы, обеспечивая его незаметность, но предоставляя желаемый удаленный доступ к устройству. После запуска троян устанавливает связь с C2-сервером и ждёт дальнейших команд от злоумышленников.
Аналитики AT&T таже обнаружили, что SeroXen использует тот же TLS-сертификат, что и QuasarRAT, и имеет большинство возможностей оригинального проекта, включая поддержку TCP-потока, эффективную сериализацию сети и сжатие QuickLZ.
Исследователи опасается, что растущая популярность SeroXen привлечёт хакеров, заинтересованных в атаках на крупные организации, а не на игроков в компьютерные игры, поэтому компания выпустила индикаторы компрометации (IoС), чтобы специалисты по безопасности успели подготовить свои предприятия.
