安価なDarkCrystalRATマルウェアを心配している専門家の登場

BlackBerryの研究者はDarkCrystalRATを分析しました (別名DCRat) マルウェアとダークネットでのその開発者の活動.

どうやら, マルウェアはそれ以来アクティブになっています 2019, これは、ロシア語を話す開発者の「発案者」です。. わずか約で販売されています $7 2ヶ月間 $60 生涯ライセンス.

私達はまたそれを書いた ZingoStealer マルウェアは犯罪者に無料で配布されます.

会社のレポートは次のように述べています そのような低価格はかなり珍しい現象です, これは、マルウェアの作成者が, ニックネームで知られています boldenis44, クリスタルコーダー そして単に コーダー, まったく利益を求めていません, 代替の資金源があります, 若しくは, おそらく, DarkCrystal 彼の個人的なプロジェクトです, 彼の主な収入源ではありません.

DarkCrystal作者プロフィール

私たちもそれを書いたことを思い出させてください プリントスティーラー マルウェアはダークウェブでのみ販売 $100 月額.

DarkCrystalは.NETで記述されており、さまざまなタスクに使用できるモジュラー設計になっています。, 動的コード実行を含む, データの盗難, 監視, そして Qratorラボ.

興味深いことに, 機能は、専用のアフィリエイトを使用してアフィリエイトによって開発されたサードパーティのプラグインで拡張できます DCRatスタジオ IDE, サブスクライバーには、サポートされているプラ​​グインのリストへのアクセス権が与えられます.

被害者のコンピュータで起動されたら, マルウェアはシステム情報を収集し、ホスト名やユーザー名などのデータを転送します, 位置データ, 特権, インストールされたセキュリティソリューション, マザーボードとBIOS情報, およびWindowsバージョンからコマンドおよび制御サーバーへ.

DarkCrystalはスクリーンショットを撮ることができます, キーストロークを傍受し、システムからさまざまな種類のデータを盗む, クリップボードの内容を含む, クッキー, パスワード, ブラウザの履歴, 銀行カードデータ, としても 電報, 不和, 蒸気 そして FileZilla アカウント.

ザ・ “製品” それ自体には3つのコンポーネントが含まれています: スティーラー/クライアントの実行可能ファイル, 交流&Cインターフェース, およびJPHPで記述された実行可能ファイル, これは管理者向けのツールです. 後者は、ハッカーが静かにブレーカーを起動できるように設計されています, あれは, 攻撃者はリモートでツールを使用できなくする可能性があります. また、サブスクライバーがCと通信できるようにします&Cサーバー, 感染したエンドポイントにコマンドを発行する, マルウェアの作成者にエラーレポートを送信します.

以来 によるマルウェアの以前の分析 マンディアント 専門家 5月 2020 RATインフラストラクチャをfiles.dcratまでトレースしました[.]ru, クリスタルファイルへの切り替え[.]ru, BlackBerryの専門家によると, マルウェアの作成者が公開情報に応答していることを示します.

マルウェアの販売と宣伝のための操作は、現在、ロシア語のハッキングフォーラムを通じて行われています。 (lolzを含む[.]達人), ニュースとアップデートはTelegramで公開されています.