Das Auftreten billiger DarkCrystal RAT-Malware Besorgte Experten

BlackBerry-Forscher analysierten die DarkCrystal RAT (alias DCRat) Malware und die Aktivitäten ihrer Entwickler im Darknet.

Anscheinend, Seitdem ist die Malware aktiv 2019, es ist die „Idee“ eines russischsprachigen Entwicklers. Es wird für so wenig wie etwa verkauft $7 für zwei Monate für $60 für eine lebenslange Lizenz.

Das haben wir auch geschrieben ZingoStealer Malware wird kostenlos unter Kriminellen verteilt.

Darauf weist der Firmenbericht hin ein so niedriger Preis ist ein eher ungewöhnliches Phänomen, was den Eindruck erweckt, dass der Autor der Malware, unter Spitznamen bekannt boldenis44, Kristallcoder und einfach Kodierer, sucht überhaupt nicht nach Gewinn, eine alternative Finanzierungsquelle hat, oder, wahrscheinlich, Dunkler Kristall ist sein persönliches Projekt, nicht seine Haupteinnahmequelle.

DarkCrystal-Autorenprofil

Lass mich dich daran erinnern, dass wir das auch geschrieben haben Prynt-Stealer Malware wird im Dark Web für nur verkauft $100 pro Monat.

DarkCrystal ist in .NET geschrieben und hat ein modulares Design, das für eine Vielzahl von Aufgaben verwendet werden kann, einschließlich dynamischer Codeausführung, Datendiebstahl, Überwachung, und DDoS-Angriffe.

Interessant, Die Funktionalität kann mit Plugins von Drittanbietern erweitert werden, die von Affiliates mit einem dedizierten entwickelt wurden DC Rat Studio IDE, und Abonnenten erhalten Zugriff auf eine Liste unterstützter Plugins.

Einmal auf dem Computer des Opfers gestartet, Die Malware sammelt Systeminformationen und überträgt Daten wie Host- und Benutzernamen, Standortdaten, Privilegien, installierte Sicherheitslösungen, Motherboard- und BIOS-Informationen, und Windows-Versionen auf den Command-and-Control-Server.

DarkCrystal kann Screenshots machen, Abfangen von Tastenanschlägen und Diebstahl verschiedener Arten von Daten aus dem System, einschließlich des Inhalts der Zwischenablage, Kekse, Passwörter, Browserverlauf, Bankkartendaten, ebenso gut wie Telegramm, Zwietracht, Dampf und FileZilla Konten.

Das “Produkt” selbst umfasst drei Komponenten: eine ausführbare Datei für den Stealer/Client, ein C&C-Schnittstelle, und eine ausführbare Datei, die in JPHP geschrieben ist, das ist ein Tool für den Administrator. Letzteres ist so konzipiert, dass ein Hacker den Breaker unbemerkt aktivieren kann, das ist, ein Angreifer kann das Tool aus der Ferne unbrauchbar machen. Es ermöglicht Abonnenten auch, mit dem C zu kommunizieren&C-Server, Befehle an infizierte Endpunkte ausgeben, und Fehlerberichte an den Malware-Autor senden.

Seit einem vorherige Analyse der Malware von Mandiant Experten im Mai 2020 verfolgte die RAT-Infrastruktur zu files.dcrat[.]Ru, die Umstellung auf Kristalldateien[.]Ru, laut BlackBerry-Experten, zeigt an, dass der Malware-Autor auf eine öffentliche Offenlegungsinformation reagiert.

Operationen zum Verkauf und zur Werbung von Malware werden jetzt über russischsprachige Hackerforen durchgeführt (einschließlich lolz[.]Guru), und Neuigkeiten und Updates werden in Telegram veröffentlicht.