Các chuyên gia cảnh báo rằng DCRat Backdoor đang được bán trên các diễn đàn hacking của Nga - Bảo mật

Các chuyên gia cảnh báo rằng DCRat Backdoor đang được bán trên các diễn đàn hacking của Nga
dark

Các chuyên gia an ninh mạng đã làm sáng tỏ một trojan truy cập từ xa có tên là DCRat (hay còn gọi là DarkCrystal RAT) được rao bán với giá “rẻ như bèo”, giúp cho các nhóm tội phạm mạng chuyên nghiệp cũng như các hacker mới đều có thể sở hữu nó.

Các chuyên gia của BlackBerry cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Không giống như các nhóm đe dọa khổng lồ được tài trợ tốt của Nga đang tạo ra các mã độc tùy chỉnh theo ý mình […], Trojan truy cập từ xa (RAT) này dường như là sản phẩm của một hacker duy nhất, cung cấp một công cụ tự chế hiệu quả đáng ngạc nhiên để mở backdoor với ngân sách tiết kiệm”.

“Trên thực tế, RAT của tin tặc này bán với giá chỉ bằng một phần nhỏ so với giá tiêu chuẩn của các công cụ tương tự trên các diễn đàn ngầm của Nga”.

Được viết bằng .NET bởi một cá nhân có biệt danh là “boldenis44” và “crystalcoder”, DCRat là một cửa hậu đầy đủ tính năng có các chức năng có thể được tăng cường thêm bằng các plugin của bên thứ ba do các tin tặc phát triển bằng cách sử dụng môi trường phát triển tích hợp chuyên dụng (IDE) được gọi là DCRat Studio.

Nó được phát hành lần đầu tiên vào năm 2018, với phiên bản 3.0 ra mắt vào ngày 30 tháng 5 năm 2020 và phiên bản 4.0 ra mắt gần một năm sau đó vào ngày 18 tháng 3 năm 2021.

Giá của trojan bắt đầu ở mức 500 RUB (5 đô la) cho hai tháng, 2.200 RUB (21 đô la) cho một năm và 4.200 RUB (40 đô la) để sử dụng trọn đời. Những con số này còn được giảm thêm trong các chương trình khuyến mãi đặc biệt.

Trong khi một phân tích trước đây của Mandiant vào tháng 5 năm 2020 đã tìm ra cơ sở hạ tầng của RAT tới files.dcrat [.] Ru, gói mã độc hiện được lưu trữ trên một miền khác có tên là crystalfiles [.] Ru. Điều này cho thấy sự thay đổi trong phản ứng với việc bị tiết lộ công khai.

dc

Các chuyên gia cho biết: “Tất cả các hoạt động tiếp thị và bán hàng của DCRat đều được thực hiện thông qua diễn đàn hacking nổi tiếng của Nga lolz [.] Guru. Diễn đàn này cũng xử lý một số truy vấn trước khi bán hàng của DCRat”.

Cũng được sử dụng để liên lạc và chia sẻ thông tin về các bản cập nhật phần mềm và plugin là kênh Telegram có khoảng 2.847 người đăng ký tính đến thời điểm viết bài này.

RAT

Các tin nhắn được đăng trên kênh này trong những tuần gần đây bao gồm các bản cập nhật cho các plugin CryptoStealer, TelegramNotifier và WindowsDefenderExcluder, cũng như “các thay đổi / sửa chữa giao diện” cho bảng điều khiển.

Theo một thông báo đã dịch được chia sẻ vào ngày 16 tháng 4 thì “Một số tính năng vui nhộn đã được chuyển sang plugin tiêu chuẩn. Dung lượng của mã độc đã giảm đi một chút. Sẽ không có phát hiện nào liên quan đến các chức năng này”.

Bên cạnh kiến ​​trúc mô-đun và khuôn khổ plugin riêng, DCRat cũng bao gồm một thành phần quản trị được thiết kế để có thể kích hoạt công tắc tự hủy, cho phép tin tặc kích hoạt từ xa khiến công cụ này trở nên không thể sử dụng được.

Về phần mình, tiện ích quản trị cho phép người dùng đăng nhập vào máy chủ điều khiển và chỉ huy đang hoạt động, ra lệnh cho các điểm cuối bị nhiễm và gửi báo cáo lỗi cùng với nhiều tính năng khác.

Các vectơ phát tán được sử dụng để lây nhiễm DCRat bao gồm Cobalt Strike Beacons và hệ thống định hướng lưu lượng (TDS) được gọi là Prometheus, một giải pháp phần mềm tội phạm dưới dạng dịch vụ (CaaS) dựa trên đăng ký gói được sử dụng để phát tán nhiều loại mã độc.

Cửa hậu này ngoài việc thu thập siêu dữ liệu hệ thống còn hỗ trợ khả năng giám sát, do thám, đánh cắp thông tin và tấn công DDoS. Nó cũng có thể chụp ảnh màn hình, ghi lại các lần gõ phím và lấy cắp nội dung từ khay nhớ tạm, Telegram và các trình duyệt web.

Các chuyên gia cho biết: “Các plugin mới và các bản cập nhật nhỏ được công bố hầu như mỗi ngày. Nếu mối đe dọa đang được phát triển và duy trì bởi chỉ một người, có vẻ như đó là một dự án mà họ đang làm việc toàn thời gian”.

Theo Thehackernews

The post Các chuyên gia cảnh báo rằng DCRat Backdoor đang được bán trên các diễn đàn hacking của Nga appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/y51ZHhm

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more