DarkVision RAT: Il Malware Economico che Minaccia la Sicurezza Globale

News
Visite: 671

Una recente campagna di malware ha portato all'attenzione dei ricercatori di cybersecurity un nuovo loader denominato PureCrypter, utilizzato per distribuire un trojan di accesso remoto (RAT) chiamato DarkVision RAT. Questa attività è stata rilevata da Zscaler ThreatLabz nel luglio 2024 e si sviluppa attraverso un processo multi-stadio per consegnare il payload del RAT. DarkVision RAT comunica con il suo server di comando e controllo (C2) utilizzando un protocollo di rete personalizzato tramite socket, supportando una vasta gamma di comandi e plugin che abilitano funzionalità aggiuntive come la registrazione delle chiavi, l'accesso remoto, il furto di password, la registrazione audio e la cattura dello schermo.

PureCrypter, divulgato per la prima volta nel 2022, è un malware loader disponibile in abbonamento, offrendo ai clienti la possibilità di distribuire stealer di informazioni, RAT e ransomware. Sebbene il vettore di accesso iniziale utilizzato per consegnare PureCrypter e, di conseguenza, DarkVision RAT non sia chiaro, esso predispone un eseguibile .NET responsabile della decriptazione e dell'avvio del loader open-source Donut. Quest'ultimo avvia PureCrypter, che alla fine scompatta e carica DarkVision, mentre stabilisce la persistenza e aggiunge i percorsi dei file e i nomi dei processi utilizzati dal RAT alla lista delle esclusioni di Microsoft Defender Antivirus.

La persistenza viene raggiunta tramite la configurazione di attività programmate utilizzando l'interfaccia COM ITaskService, chiavi di autorun, e la creazione di uno script batch contenente un comando per eseguire l'eseguibile del RAT, posizionando un collegamento allo script batch nella cartella di avvio di Windows. DarkVision RAT, apparso per la prima volta nel 2020, è pubblicizzato su un sito clearnet per soli 60 dollari come pagamento unico, rappresentando una proposta allettante per gli attori delle minacce e i criminali informatici aspiranti con poche conoscenze tecniche che cercano di lanciare i propri attacchi. Sviluppato in C++ e assembly per "prestazioni ottimali", il RAT è dotato di un ampio set di funzionalità che consentono l'iniezione di processi, shell remota, proxy inverso, manipolazione degli appunti, keylogging, cattura di schermate e recupero di cookie e password dai browser web, tra gli altri.

Progettato per raccogliere informazioni di sistema e ricevere plugin aggiuntivi inviati da un server C2, DarkVision RAT aumenta ulteriormente la sua funzionalità, garantendo agli operatori il controllo completo sull'host Windows infetto. DarkVision RAT rappresenta uno strumento potente e versatile per i cybercriminali, offrendo una vasta gamma di capacità dannose, dalla registrazione delle chiavi e cattura dello schermo al furto di password e esecuzione remota. Questa versatilità, unita al suo basso costo e disponibilità sui forum di hacking e sul loro sito web, ha reso DarkVision RAT sempre più popolare tra gli attaccanti.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.