Ένα trojan απομακρυσμένης πρόσβασης (RAT) με το όνομα “SeroXen” έχει γίνει αρκετά δημοφιλές το τελευταίο διάστημα, καθώς πολλοί εγκληματίες του κυβερνοχώρου το προτιμούν λόγω των ισχυρών δυνατοτήτων του και της δυσκολίας στον εντοπισμό του.

Η AT&T αναφέρει ότι το κακόβουλο λογισμικό παρουσιάζεται σαν νόμιμο λογισμικό απομακρυσμένης πρόσβασης για τα Windows 11 και 10. Πωλείται για 15 $/μήνα ή με “lifetime” license για 60 $.

Ωστόσο, ενώ διατίθεται στην αγορά ως νόμιμο πρόγραμμα, το SeroXen προωθείται ως trojan απομακρυσμένης πρόσβασης σε hacking φόρουμ.

Το χαμηλό κόστος του το καθιστά πολύ δημοφιλές σε παράγοντες απειλών, με την AT&T να παρατηρεί εκατοντάδες δείγματα από τη στιγμή που δημιουργήθηκε τον Σεπτέμβριο του 2022. Μάλιστα, το τελευταίο διάστημα έχει εντοπιστεί πιο έντονη δραστηριότητα.

Τα περισσότερα θύματα του SeroXen RAT είναι gamers, αλλά καθώς αυξάνεται η δημοτικότητα του εργαλείου, μπορεί να μπουν στο στόχαστρο των hackers μεγάλες εταιρείες και οργανισμοί.

SeroXen RAT

Το SeroXen βασίζεται σε διάφορα open-source projects, όπως το Quasar RAT, το r77 rootkit και το NirCmd command line tool.

Ο προγραμματιστής του SeroXen βρήκε έναν τρομερό συνδυασμό δωρεάν πόρων για την ανάπτυξη ενός δύσκολα ανιχνεύσιμου RAT“, σχολιάζει η AT&T.

Η χρήση ενός περίτεχνου RAT ανοιχτού κώδικα όπως το Quasar αποτελεί πλεονεκτικό θεμέλιο για το RAT […] ενώ ο συνδυασμός NirCMD και r77-rootkit είναι λογικές προσθήκες στο μείγμα, καθώς κάνουν το εργαλείο πιο άπιαστο και πιο δύσκολο να εντοπιστεί“.

Το Quasar RAT, το οποίο χρησιμοποιεί το SeroXen ως βάση του, είναι ένα εργαλείο απομακρυσμένης διαχείρισης που κυκλοφόρησε το 2014. Η τελευταία του έκδοση, 1.41, διαθέτει reverse proxy, remote shell, remote desktop, TLS communication και σύστημα διαχείρισης αρχείων. Διατίθεται δωρεάν μέσω του GitHub.

Από την άλλη, το rootkit r77 (Ring 3) είναι ένα rootkit ανοιχτού κώδικα που προσφέρει file-less persistence, child process hooking, malware embedding, in-memory process injection και αποφυγή ανίχνευσης από προϊόντα προστασίας από ιούς.

Τέλος, το NirCmd είναι ένα δωρεάν βοηθητικό πρόγραμμα που εκτελεί απλές εργασίες διαχείρισης συστήματος Windows.

SeroXen RAT επιθέσεις

Σύμφωνα με την AT&T, το SeroXen RAT διανέμεται μέσω phishing emails ή καναλιών Discord. Οι επιτιθέμενοι διανέμουν αρχεία ZIP που περιέχουν obfuscated batch files.

Το batch file εξάγει δύο binaries από base64 encoded κείμενο και τα φορτώνει στη μνήμη χρησιμοποιώντας .NET reflection.

Το μόνο αρχείο που αγγίζει το δίσκο είναι μια τροποποιημένη έκδοση του msconfig.exe, η οποία απαιτείται για την εκτέλεση κακόβουλου λογισμικού και αποθηκεύεται προσωρινά στο “C:\Windows \System32\” (notice the extra space) directory που διαγράφεται μόλις εγκατασταθεί το πρόγραμμα.

Αυτό το batch file αναπτύσσει τελικά ένα payload  που ονομάζεται “InstallStager.exe“, μια παραλλαγή του rootkit r77.

Το rootkit αποθηκεύεται στο Windows registry και αργότερα ενεργοποιείται χρησιμοποιώντας το PowerShell μέσω του Task Scheduler, εισάγοντάς το στο “winlogon.exe“.

Το rootkit r77 εγχέει το SeroXen RAT στη μνήμη του συστήματος, διασφαλίζοντας ότι παραμένει απαρατήρητο και παρέχει απομακρυσμένη πρόσβαση στη συσκευή.

Μόλις αρχίσει να λειτουργεί το κακόβουλο λογισμικό, δημιουργεί επικοινωνία με τον διακομιστή εντολών και ελέγχου και περιμένει τις εντολές των επιτιθέμενων.

Σύμφωνα με τους αναλυτές, το SeroXen χρησιμοποιεί το ίδιο TLS certificate με το QuasarRAT.

Αν και, όπως είπαμε παραπάνω, το SeroXen στοχεύει προς το παρόν gamers, οι ερευνητές φοβούνται ότι σύντομα μπορεί να αρχίσει να στοχεύει και μεγάλους οργανισμούς. Σήμερα, οι περισσότεροι οργανισμοί αποθηκεύουν τις ευαίσθητες πληροφορίες τους σε ηλεκτρονικές βάσεις δεδομένων. Μία από τις πιο σημαντικές απειλές για τα δεδομένα είναι τα Remote Access Trojan (RAT), όπως το SeroXen, αφού μπορούν να βλάψουν σοβαρά τη φήμη και την οικονομική σταθερότητα μιας εταιρείας παρέχοντας στους εισβολείς μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση σε ευαίσθητα αρχεία.

Πηγή: bleepingcomputer.com

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *