18/01/24
В конце 2023 года специалисты F.A.C.C.T. Threat Intelligence обнаружили масштабную фишинговую кампанию, нацеленную на российские компании. Преступная группа использовала троян удаленного доступа DarkCrystal RAT для атак на разнообразные сектора, включая магазины, банки, IT и строительство. Целью злоумышленников было проникновение во внутренние финансовые и юридические системы, а также доступ к клиентским базам данных и корпоративным учетным записям, пишет Securitylab.
По данным компании, DarkCrystal RAT появился в продаже в 2019 году. «Ратник» умеет делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы куки, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Само ВПО написано на C# и имеет модульную структуру
В ходе анализа перехваченных сообщений, эксперты выявили новый вид трояна удаленного доступа, получивший название RADX.
Методы распространения
Преступники использовали различные схемы распространения вредоносного ПО. Так, в ноябре 2023 года злоумышленники рассылали с почты sergkovalev@b7s[.]ru фишинговые письма с темой «Оплата сервера». В них содержалось два вида вложения: «скрин оплаты за сервер.zip» или «скрин оплаты за сервер.pdf.zip». В первом архиве содержался файл «скрин оплаты за сервер.scr», который установит на компьютер жертвы троян удаленного доступа DarkCrystal RAT. В данном случае командным центром (C2) DarkCrystal RAT является IP-адрес 195.20.16[.]116.
Во втором архиве содержался лоадер «скрин оплаты за сервер.pdf.exe», который установил ранее неизвестное ВПО. В ходе анализа, в компании дали ему название RADX RAT.
В декабре последовала новая волна рассылок с темами «Подтверждение оплаты», «Не прошла оплата» и «Агрокомбинат ГК».
В компании обнаружили, что злоумышленники рассылали два разных архива с одинаковым названием «Платежное поручение №24754 от 4 декабря 2023 г..jpg.zip». В первом был .SCR файл, во втором был исполняемый EXE, который также установит DarkCrystal RAT.
В случае писем с темой «Агрокомбинат ГК» злоумышленники доставляли ссылку на запароленный архив «TZ_Maket_DopInfo.zip»:
Во втором архиве содержался «скрин оплаты за сервер.pdf.exe», который должен установить другую вредоносную программу, отличную от DarkCrystal RAT, под видом исполняемого файла AppLaunch.exe на компьютер жертвы.
Семейство ВПО, получившее название RADX RAT, специалисты Threat Intelligence нашли в продаже на андеграундном форуме. Данный “ратник” находится в продаже с октября 2023 года, где его рекламировали как “самый лучший и самый дешевый СОФТ для работы с удаленным доступом и сбором секретной информации”. Цена за недельную аренду трояна со скидками составляла всего 175 рублей, а за трехмесячную — 475 рублей. Также злоумышленники предлагали в придачу программу-стилер, которая крадет пароли и другие данные из системы.
