Halvien DarkCrystal RAT -haittaohjelmien huolestuneiden asiantuntijoiden ulkonäkö
BlackBerryn tutkijat analysoivat DarkCrystal RAT:ia (eli DCRat) haittaohjelma ja sen kehittäjän toiminta darknetissä.
Ilmeisesti, haittaohjelma on ollut aktiivinen siitä lähtien 2019, se on venäjänkielisen kehittäjän "aivonlapsi".. Sitä myydään niin vähän kuin n $7 kahdeksi kuukaudeksi $60 elinikäiselle lisenssille.
Kirjoitimme myös sen ZingoStealer haittaohjelmia jaetaan rikollisten kesken ilmaiseksi.
Yhtiön raportti toteaa tämän niin alhainen hinta on melko epätavallinen ilmiö, joka antaa vaikutelman, että haittaohjelman tekijä, tunnetaan lempinimistä boldenis44, kristallkooderi ja yksinkertaisesti Koodaaja, ei etsi voittoa ollenkaan, on vaihtoehtoinen rahoituslähde, tai, todennäköisesti, DarkCrystal on hänen henkilökohtainen projektinsa, ei ole hänen pääasiallinen tulonlähde.
DarkCrystalin tekijäprofiili
Muistutan, että kirjoitimme myös sen Prynt Stealer Haittaohjelmat myydään vain pimeässä verkossa $100 kuukaudessa.
DarkCrystal on kirjoitettu .NET-muodossa, ja se on modulaarinen, jota voidaan käyttää erilaisiin tehtäviin, mukaan lukien dynaaminen koodin suoritus, tietojen varastaminen, valvontaa, ja DDoS-hyökkäykset.
Mielenkiintoista, toiminnallisuutta voidaan laajentaa kolmannen osapuolen laajennuksilla, jotka tytäryhtiöt ovat kehittäneet käyttämällä erityistä DCRat Studio IDE, ja tilaajat saavat pääsyn luetteloon tuetuista laajennuksista.
Kerran käynnistetty uhrin tietokoneella, haittaohjelma kerää järjestelmätietoja ja siirtää tietoja, kuten isäntä- ja käyttäjänimiä, sijaintitiedot, etuoikeuksia, asennettu turvaratkaisut, emolevyn ja BIOSin tiedot, ja Windows-versiot komento- ja ohjauspalvelimeen.
DarkCrystal pystyy ottamaan kuvakaappauksia, siepata näppäinpainalluksia ja varastaa erityyppisiä tietoja järjestelmästä, mukaan lukien leikepöydän sisältö, keksit, salasanat, selainhistoria, pankkikortin tiedot, yhtä hyvin kuin Telegram, Ristiriita, Höyry ja FileZilla tilit.
The “tuote” itsessään sisältää kolme komponenttia: suoritettava ohjelma varastajalle/asiakkaalle, a C&C-liitäntä, ja JPHP:llä kirjoitettu suoritettava tiedosto, joka on järjestelmänvalvojan työkalu. Jälkimmäinen on suunniteltu siten, että hakkeri voi hiljaa aktivoida katkaisijan, tuo on, hyökkääjä voi tehdä työkalusta käyttökelvottoman etänä. Sen avulla tilaajat voivat myös kommunikoida C:n kanssa&C-palvelin, antaa komentoja tartunnan saaneille päätepisteille, ja lähettää virheraportit haittaohjelman tekijälle.
Koska a edellinen analyysi haittaohjelmasta Mandiant asiantuntijat toukokuussa 2020 jäljitti RAT-infrastruktuurin tiedostoon files.dcrat[.]ru, vaihtaa kristallitiedostoihin[.]ru, BlackBerryn asiantuntijoiden mukaan, ilmaisee, että haittaohjelman tekijä vastaa julkisuuteen.
Haittaohjelmien myyntiä ja mainontaa harjoitetaan nyt venäjänkielisten hakkerointifoorumien kautta (mukaan lukien lolz[.]guru), ja uutiset ja päivitykset julkaistaan Telegramissa.
