L'apparition de logiciels malveillants DarkCrystal RAT bon marché inquiète les experts

Les chercheurs de BlackBerry ont analysé le DarkCrystal RAT (alias DCRat) le malware et l'activité de son développeur sur le darknet.

Apparemment, le malware est actif depuis 2019, c'est l'idée originale d'un développeur russophone. Il est vendu pour aussi peu qu'environ $7 pendant deux mois pour $60 Annoncé sur de nombreux forums de piratage entre.

Nous avons également écrit que ZingoStealer les logiciels malveillants sont distribués gratuitement aux criminels.

Le rapport de la société note que un prix aussi bas est un phénomène plutôt inhabituel, ce qui donne l'impression que l'auteur du malware, connu sous les surnoms boule de glace44, cristalcodeur et simplement , ne cherche pas du tout le profit, a une autre source de financement, ou, Probablement, Cristal sombre est son projet personnel, pas sa principale source de revenu.

Logiciel malveillant DarkCrystal RAT
Profil de l'auteur DarkCrystal

Permettez-moi de vous rappeler que nous avons également écrit que Voleur de Prynt Les logiciels malveillants ne se vendent que sur le Dark Web $100 par mois.

DarkCrystal est écrit en .NET et a une conception modulaire qui peut être utilisée pour une variété de tâches, y compris l'exécution de code dynamique, Le vol de données, surveillance, et Attaques DDoS.

de façon intéressante, la fonctionnalité peut être étendue avec des plugins tiers développés par des affiliés à l'aide d'un dédié DCRat Studio EDI, et les abonnés ont accès à une liste de plugins pris en charge.

Logiciel malveillant DarkCrystal RAT

Une fois lancé sur l'ordinateur de la victime, le logiciel malveillant collecte des informations système et transfère des données telles que les noms d'hôte et d'utilisateur, données de localisation, privilèges, solutions de sécurité installées, informations sur la carte mère et le BIOS, et versions Windows au serveur de commande et de contrôle.

DarkCrystal est capable de prendre des captures d'écran, intercepter les frappes et voler divers types de données du système, y compris le contenu du presse-papiers, biscuits, mots de passe, historique du navigateur, données de carte bancaire, aussi bien que Télégramme, Discorde, Fumer et FichierZilla comptes.

le “produit” comprend lui-même trois composants: un exécutable pour le voleur/client, un C&Interface C, et un exécutable écrit en JPHP, qui est un outil pour l'administrateur. Ce dernier est conçu de manière à ce qu'un pirate puisse activer discrètement le disjoncteur, C'est, un attaquant peut rendre l'outil inutilisable à distance. Il permet également aux abonnés de communiquer avec le C&serveur C, envoyer des commandes aux endpoints infectés, et envoyer des rapports d'erreur à l'auteur du malware.

Actuellement, DarkCrystal RAT est hébergé sur crystalfiles[.]ru, où il est "déplacé" de dcrat[.]ru, un site simple qui ne servait qu'au téléchargement.experts La mûre dire.

Depuis un analyse précédente du logiciel malveillant par Mandiant experts en mai 2020 tracé de l'infrastructure RAT vers files.dcrat[.]ru, le passage à crystalfiles[.]ru, selon les experts BlackBerry, indique que l'auteur du logiciel malveillant répond à une information publique.

Les opérations de vente et de publicité de logiciels malveillants sont désormais effectuées via des forums de piratage en russe (y compris lolz[.]gourou), et les nouvelles et mises à jour sont publiées dans Telegram.

Le compte à rebours indique également que Frappe au cobalt et balises TDS appelées Prométhée sont impliqués dans la distribution et le déploiement de DarkCrystal.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page