RAT vendido a US$ 5 em fóruns russos instala backdoor

Da Redação
09/05/2022

Pesquisadores de segurança cibernética desvendaram um trojan de acesso remoto mantido ativamente chamado DCRat — também conhecido como DarkCrystal RAT — que é oferecido à venda por preços “baratos” na dark web, tornando-o acessível a grupos profissionais de cibercriminosos e operadores novatos.

“Ao contrário dos grupos de ameaças russos bem financiados e massivos que criam malware personalizado […], esse trojan de acesso remoto [RAT] parece ser o trabalho de um autor solitário, oferecendo uma ferramenta caseira surpreendentemente eficaz para implantar backdoors”, disseram pesquisadores da BlackBerry em um relatório compartilhado com o The Hacker News.

Segundo os especialistas, o RAT comercial desse operador de ameaças é vendido por uma fração do preço padrão que essas ferramentas custam em fóruns clandestinos russos.

Escrito em linguagem .NET e identificado por dois codinomes individuais, “boldenis44” e “crystalcoder”, o DCRat é uma backdoor completa cujas funcionalidades podem ser expandidas por plugins de terceiros desenvolvidos por hackers afiliados usando um ambiente de desenvolvimento integrado dedicado (IDE) chamado DCRat Studio.

Ele foi identificado pela primeira vez em 2018, com a versão 3.0 sendo lançada em 30 de maio de 2020 e a versão 4.0 lançada quase um ano depois, em 18 de março de 2021.

O preço do trojan começa em 500 rublos (o equivalente a US$ 5) para uma licença de dois meses. Para a licença por um ano é cobrado 2.200 rublos (US$ 21) e para uma assinatura vitalícia, 4.200 rublos (US$ 40). Os preços, no entanto, são ainda mais reduzidos durante promoções especiais.

Uma análise anterior da Mandiant, em maio de 2020, rastreou a infraestrutura do RAT para files.dcrat[.]ru, mas atualmente o malware está hospedado em um domínio diferente chamado crystalfiles[.]ru, indicando uma mudança devido à ampla divulgação pública.

“Todas as operações de marketing e vendas do DCRat são feitas através do popular fórum russo de hackers lolz[.]guru, que também lida com algumas das consultas de pré-venda do DCRat”, disseram os pesquisadores.

O Telegram, que abriga um grupo do DCRat com cerca de 2.847 assinantes até o momento, é usado ativamente para comunicações e compartilhamento de informações sobre atualizações de software e plugins. As mensagens postadas no canal nas últimas semanas cobrem atualizações para os plugins CryptoStealer, TelegramNotifier e WindowsDefenderExcluder, bem como “alterações/correções cosméticas” no painel.

“Alguns recursos do Fun foram movidos para o plug-in padrão”, diz uma mensagem traduzida compartilhada em 16 de abril. “O peso da construção diminuiu ligeiramente. Não deve haver detectores que vão especificamente para essas funções.”

Veja isso
BC europeu alerta bancos sobre risco de ciberataques pela Rússia
Coreia do Norte financia programa nuclear com ciberataque, diz ONU

Além de sua arquitetura modular e estrutura de plugins sob medida, o DCRat também engloba um componente de administrador projetado para acionar furtivamente um kill switch, o que permite que o operador da ameaça torne a ferramenta remotamente inutilizável.

Os vetores de distribuição empregados para infectar hosts com DCRat incluem Cobalt Strike Beacons e um sistema de direção de tráfego (TDS) chamado Prometheus, uma solução de crimeware como serviço (CaaS) baseada em assinatura usada para fornecer uma variedade de cargas úteis.

O DCRat, além de coletar metadados do sistema, suporta vigilância, reconhecimento, roubo de informações e recursos de ataque DDoS. Ele também pode capturar capturas de tela, gravar pressionamentos de tecla e roubar conteúdo da área de transferência, Telegram e navegadores da web.”Novos plugins e pequenas atualizações são anunciadas quase todos os dias”, disseram os pesquisadores. “Se a ameaça está sendo desenvolvida e sustentada por apenas uma pessoa, parece que é um projeto em que ela está trabalhando em tempo integral”.

Compartilhar: