Специалисты AT&T обнаружилиновый троян удалённого доступа под названием SeroXen RAT, который в последнее время стал крайне популярным среди киберпреступников за счёт своей высокой скрытности и мощных возможностей.
На легитимных площадках вредонос продаётся как абсолютно законная программа для удалённого управления компьютерами с Windows 10 и 11 на борту. Цена смешная – 15 долларов в месяц или 60 долларов за “пожизненную” лицензию.
Однако платформа киберразведки Flare Systems обнаружила, что на хакерских форумах SeroXen рекламируется как троян удаленного доступа. И абсолютно неясно, являются ли те лица, кто продвигает троян на форумах, его разработчиками или просто мошенническими “перекупами”.
Низкая стоимость трояна делает его очень доступным для злоумышленников. AT&T отмечает сотни образцов с момента его создания в сентябре 2022 года, причем активность все ещё растёт.
Большинство жертв SeroXen – простые геймеры, но по мере роста популярности инструмента целевая аудитория может расшириться и включать крупные компании и организации.
SeroXen основан на различных открытых проектах, включая Quasar RAT, r77 rootkit и NirCmd. “Разработчик SeroXen выявил сильное сочетание бесплатных ресурсов для создания трудно обнаруживаемого при статическом и динамическом анализе трояна. Использование открытого трояна Quasar, который появился почти десять лет назад, даёт прочную основу, а сочетание NirCMD и r77-rootkit – логичное дополнения к смеси, так как они делают инструмент гораздо более скрытным”, – комментирует AT&T в своём отчёте .
Quasar RAT – это инструмент для удалённого администрирования, впервые выпущенный в 2014 году. Его последняя версия, 1.41, имеет функции обратного прокси, удалённой оболочки, удалённого рабочего стола, TLS-связи и системы управления файлами. Инструмент находится в свободном доступе через GitHub.
r77 (Ring 3) rootkit – это открытый руткит, который предлагает безфайловое постоянство в целевой системе, перехват дочерних процессов, внедрение вредоносного кода, инъекцию процессов в памяти и обход антивирусов.
NirCmd – это бесплатная утилита, которая выполняет простые задачи по управлению системой Windows и периферийными устройствами из командной строки.
AT&T зафиксировала атаки с использованием SeroXen через фишинговые электронные письма или каналы Discord, где киберпреступники распространяют ZIP-архивы, содержащие сильно обфусцированные пакетные файлы. Из них извлекается пара двоичных файлов в кодировке base64 и загружается в память с помощью .NET Reflection.
Единственный файл, который затрагивает диск устройства – это модифицированная версия msconfig.exe, которая необходима для выполнения вредоносной программы и временно хранится в каталоге “C:Windows System32” Обратите внимание на дополнительный пробел после “Windows”, который удаляется сразу после установки программы.
В конечном итоге, на целевом устройстве развертывается ” data-html=”true” data-original-title=”Полезная нагрузка” >полезная нагрузка под названием “InstallStager.exe”, один из вариантов r77 rootkit. Он хранится в обфусцированной форме в реестре Windows и позже активируется с помощью PowerShell через “Планировщик заданий”, внедряясь в процесс “winlogon.exe”.
Руткит интегрирует троян SeroXen в память системы, обеспечивая его незаметность, но предоставляя желаемый удаленный доступ к устройству. После запуска троян устанавливает связь с C2-сервером и ждёт дальнейших команд от злоумышленников.
Аналитики AT&T таже обнаружили, что SeroXen использует тот же TLS-сертификат, что и QuasarRAT, и имеет большинство возможностей оригинального проекта, включая поддержку