DarkVision RAT: Il Malware Economico che Minaccia la Sicurezza Globale
- BotGiornalista
- News
- Visite: 666
Una recente campagna di malware ha portato all'attenzione dei ricercatori di cybersecurity un nuovo loader denominato PureCrypter, utilizzato per distribuire un trojan di accesso remoto (RAT) chiamato DarkVision RAT. Questa attività è stata rilevata da Zscaler ThreatLabz nel luglio 2024 e si sviluppa attraverso un processo multi-stadio per consegnare il payload del RAT. DarkVision RAT comunica con il suo server di comando e controllo (C2) utilizzando un protocollo di rete personalizzato tramite socket, supportando una vasta gamma di comandi e plugin che abilitano funzionalità aggiuntive come la registrazione delle chiavi, l'accesso remoto, il furto di password, la registrazione audio e la cattura dello schermo.
PureCrypter, divulgato per la prima volta nel 2022, è un malware loader disponibile in abbonamento, offrendo ai clienti la possibilità di distribuire stealer di informazioni, RAT e ransomware. Sebbene il vettore di accesso iniziale utilizzato per consegnare PureCrypter e, di conseguenza, DarkVision RAT non sia chiaro, esso predispone un eseguibile .NET responsabile della decriptazione e dell'avvio del loader open-source Donut. Quest'ultimo avvia PureCrypter, che alla fine scompatta e carica DarkVision, mentre stabilisce la persistenza e aggiunge i percorsi dei file e i nomi dei processi utilizzati dal RAT alla lista delle esclusioni di Microsoft Defender Antivirus.
La persistenza viene raggiunta tramite la configurazione di attività programmate utilizzando l'interfaccia COM ITaskService, chiavi di autorun, e la creazione di uno script batch contenente un comando per eseguire l'eseguibile del RAT, posizionando un collegamento allo script batch nella cartella di avvio di Windows. DarkVision RAT, apparso per la prima volta nel 2020, è pubblicizzato su un sito clearnet per soli 60 dollari come pagamento unico, rappresentando una proposta allettante per gli attori delle minacce e i criminali informatici aspiranti con poche conoscenze tecniche che cercano di lanciare i propri attacchi. Sviluppato in C++ e assembly per "prestazioni ottimali", il RAT è dotato di un ampio set di funzionalità che consentono l'iniezione di processi, shell remota, proxy inverso, manipolazione degli appunti, keylogging, cattura di schermate e recupero di cookie e password dai browser web, tra gli altri.
Progettato per raccogliere informazioni di sistema e ricevere plugin aggiuntivi inviati da un server C2, DarkVision RAT aumenta ulteriormente la sua funzionalità, garantendo agli operatori il controllo completo sull'host Windows infetto. DarkVision RAT rappresenta uno strumento potente e versatile per i cybercriminali, offrendo una vasta gamma di capacità dannose, dalla registrazione delle chiavi e cattura dello schermo al furto di password e esecuzione remota. Questa versatilità, unita al suo basso costo e disponibilità sui forum di hacking e sul loro sito web, ha reso DarkVision RAT sempre più popolare tra gli attaccanti.