L'apparition de logiciels malveillants DarkCrystal RAT bon marché inquiète les experts
Les chercheurs de BlackBerry ont analysé le DarkCrystal RAT (alias DCRat) le malware et l'activité de son développeur sur le darknet.
Apparemment, le malware est actif depuis 2019, c'est l'idée originale d'un développeur russophone. Il est vendu pour aussi peu qu'environ $7 pendant deux mois pour $60 Annoncé sur de nombreux forums de piratage entre.
Nous avons également écrit que ZingoStealer les logiciels malveillants sont distribués gratuitement aux criminels.
Le rapport de la société note que un prix aussi bas est un phénomène plutôt inhabituel, ce qui donne l'impression que l'auteur du malware, connu sous les surnoms boule de glace44, cristalcodeur et simplement Où, ne cherche pas du tout le profit, a une autre source de financement, ou, Probablement, Cristal sombre est son projet personnel, pas sa principale source de revenu.
Profil de l'auteur DarkCrystal
Permettez-moi de vous rappeler que nous avons également écrit que Voleur de Prynt Les logiciels malveillants ne se vendent que sur le Dark Web $100 par mois.
DarkCrystal est écrit en .NET et a une conception modulaire qui peut être utilisée pour une variété de tâches, y compris l'exécution de code dynamique, Le vol de données, surveillance, et Attaques DDoS.
de façon intéressante, la fonctionnalité peut être étendue avec des plugins tiers développés par des affiliés à l'aide d'un dédié DCRat Studio EDI, et les abonnés ont accès à une liste de plugins pris en charge.
Une fois lancé sur l'ordinateur de la victime, le logiciel malveillant collecte des informations système et transfère des données telles que les noms d'hôte et d'utilisateur, données de localisation, privilèges, solutions de sécurité installées, informations sur la carte mère et le BIOS, et versions Windows au serveur de commande et de contrôle.
DarkCrystal est capable de prendre des captures d'écran, intercepter les frappes et voler divers types de données du système, y compris le contenu du presse-papiers, biscuits, mots de passe, historique du navigateur, données de carte bancaire, aussi bien que Télégramme, Discorde, Fumer et FichierZilla comptes.
le “produit” comprend lui-même trois composants: un exécutable pour le voleur/client, un C&Interface C, et un exécutable écrit en JPHP, qui est un outil pour l'administrateur. Ce dernier est conçu de manière à ce qu'un pirate puisse activer discrètement le disjoncteur, C'est, un attaquant peut rendre l'outil inutilisable à distance. Il permet également aux abonnés de communiquer avec le C&serveur C, envoyer des commandes aux endpoints infectés, et envoyer des rapports d'erreur à l'auteur du malware.
Depuis un analyse précédente du logiciel malveillant par Mandiant experts en mai 2020 tracé de l'infrastructure RAT vers files.dcrat[.]ru, le passage à crystalfiles[.]ru, selon les experts BlackBerry, indique que l'auteur du logiciel malveillant répond à une information publique.
Les opérations de vente et de publicité de logiciels malveillants sont désormais effectuées via des forums de piratage en russe (y compris lolz[.]gourou), et les nouvelles et mises à jour sont publiées dans Telegram.