Investigadores de ciberseguridad han revelado una nueva campaña de malware que aprovecha un cargador de malware llamado PureCrypter para entregar un troyano de acceso remoto (RAT) llamado DarkVision RAT.
La actividad, observada por Zscaler ThreatLabz en julio de 2024, implica un proceso de varias etapas para entregar la carga útil RAT.
“DarkVision RAT se comunica con su servidor de comando y control (C2) utilizando un protocolo de red personalizado a través de sockets”, dijo en un análisis el investigador de seguridad Muhammed Irfan VA.
“DarkVision RAT admite una amplia gama de comandos y complementos que permiten capacidades adicionales como registro de teclas, acceso remoto, robo de contraseñas, grabación de audio y capturas de pantalla”.
PureCrypter, divulgado públicamente por primera vez en 2022, es un cargador de malware listo para usar que está disponible para la venta mediante suscripción y ofrece a los clientes la capacidad de distribuir ladrones de información, RAT y ransomware.
El vector de acceso inicial exacto utilizado para entregar PureCrypter y, por extensión, DarkVision RAT no está exactamente claro, aunque allana el camino para un ejecutable .NET que es responsable de descifrar e iniciar el cargador Donut de código abierto.
Posteriormente, el cargador Donut procede a iniciar PureCrypter, que finalmente descomprime y carga DarkVision, al tiempo que configura la persistencia y agrega las rutas de archivo y los nombres de procesos utilizados por RAT a la lista de exclusiones de Microsoft Defender Antivirus.
La persistencia se logra configurando tareas programadas usando la interfaz COM ITaskService, claves de ejecución automática y creando un script por lotes que contiene un comando para ejecutar el ejecutable RAT y colocando un acceso directo al script por lotes en la carpeta de inicio de Windows.
El RAT, que apareció inicialmente en 2020, se anuncia en un sitio de clearnet por tan solo 60 dólares por un pago único, lo que ofrece una propuesta atractiva para los actores de amenazas y los aspirantes a ciberdelincuentes con pocos conocimientos técnicos que buscan montar su propios ataques.
Desarrollado en C++ y ensamblador (también conocido como ASM) para un “rendimiento óptimo”, el RAT viene con un amplio conjunto de características que permiten la inyección de procesos, shell remoto, proxy inverso, manipulación del portapapeles, registro de teclas, captura de pantalla y recuperación de cookies y contraseñas. desde navegadores web, entre otros.
También está diseñado para recopilar información del sistema y recibir complementos adicionales enviados desde un servidor C2, aumentando aún más su funcionalidad y otorgando a los operadores un control total sobre el host de Windows infectado.
“DarkVision RAT representa una herramienta potente y versátil para los ciberdelincuentes, que ofrece una amplia gama de capacidades maliciosas, desde registro de teclas y captura de pantalla hasta robo de contraseñas y ejecución remota”, afirmó Zscaler.
“Esta versatilidad, combinada con su bajo costo y disponibilidad en foros de piratería y su sitio web, ha hecho que DarkVision RAT sea cada vez más popular entre los atacantes”.
