Pojawienie się zaniepokojonych ekspertów złośliwego oprogramowania DarkCrystal RAT
Badacze BlackBerry przeanalizowali DarkCrystal RAT (alias DCRat) malware i aktywność jego twórców w darknecie.
Widocznie, złośliwe oprogramowanie jest aktywne od tego czasu 2019, jest to „pomysł” rosyjskojęzycznego programisty. Sprzedawany jest za ok $7 przez dwa miesiące za $60 na dożywotnią licencję.
To też napisaliśmy ZingoStealer złośliwe oprogramowanie jest rozpowszechniane wśród przestępców za darmo.
Raport firmy to zauważa tak niska cena to dość niezwykłe zjawisko, co sprawia wrażenie, że autor złośliwego oprogramowania, znane z pseudonimów lody w kulce44, koder kryształów i po prostu Gdzie, wcale nie szuka zysku, ma alternatywne źródło finansowania, lub, prawdopodobnie, DarkCrystal jest jego osobistym projektem, nie jest jego głównym źródłem utrzymania.
Profil autora DarkCrystal
Przypomnę, że my też to napisaliśmy Złodziej Prynta Złośliwe oprogramowanie sprzedaje się tylko w Dark Web $100 na miesiąc.
DarkCrystal jest napisany w .NET i ma modułową konstrukcję, która może być używana do różnych zadań, w tym dynamiczne wykonywanie kodu, kradzież danych, nadzór, i Laboratorium Qratora.
co ciekawe, funkcjonalność można rozszerzyć za pomocą wtyczek innych firm opracowanych przez podmioty stowarzyszone za pomocą dedykowanego Studio DCRat IDE, a subskrybenci otrzymują dostęp do listy obsługiwanych wtyczek.
Po uruchomieniu na komputerze ofiary, złośliwe oprogramowanie zbiera informacje o systemie i przesyła dane, takie jak nazwy hosta i użytkownika, dane lokalizacji, przywileje, zainstalowane rozwiązania zabezpieczające, Informacje o płycie głównej i systemie BIOS, i wersje systemu Windows do serwera dowodzenia i kontroli.
DarkCrystal może robić zrzuty ekranu, przechwytywanie naciśnięć klawiszy i kradzież różnego rodzaju danych z systemu, w tym zawartość schowka, ciasteczka, Hasła, historia przeglądarki, dane karty bankowej, jak również Telegram, Niezgoda, Parowy i FileZilla rachunki.
ten “produkt” samo w sobie zawiera trzy składniki: plik wykonywalny dla złodzieja/klienta, C&Interfejs C, oraz plik wykonywalny napisany w JPHP, które jest narzędziem dla administratora. Ten ostatni jest zaprojektowany w taki sposób, aby haker mógł cicho aktywować wyłącznik, to jest, osoba atakująca może zdalnie uniemożliwić korzystanie z narzędzia. Pozwala również abonentom komunikować się z C&serwer C, wydawać polecenia zainfekowanym punktom końcowym, i wysyłaj raporty o błędach do autora złośliwego oprogramowania.
Ponieważ poprzednia analiza złośliwego oprogramowania wg Mandant eksperci w maju 2020 prześledził infrastrukturę RAT do plików.dcrat[.]ru, przejście na pliki crystal[.]ru, zdaniem ekspertów BlackBerry, wskazuje, że autor złośliwego oprogramowania odpowiada na publiczne ujawnienie informacji.
Operacje sprzedaży i reklamy złośliwego oprogramowania są teraz przeprowadzane za pośrednictwem rosyjskojęzycznych forów hakerskich (w tym lolz[.]guru), a wiadomości i aktualizacje są publikowane w Telegramie.
