首页 > 安全 > 正文

dcrat,只有5美元用于远程访问特洛伊木马

最后更新 :2022.05.10

研究人员警告说,可以在俄罗斯网络犯罪论坛上出售的远程访问特洛伊木马(又名DarkCrystal Rat)。

来自BlackBerry的网络安全研究人员警告远程访问Trojan Drajan(Aka DarkcaDarkcrystal Rat) )可以在俄罗斯网络犯罪论坛上出售。 Dcrat后门非常便宜,它似乎是与“ Boldenis44”,“ CrystalCoder”和“ Crystalcoder”和“ CrystalCoder”和Lisum环(“ Coder”)在线的孤独威胁演员的作品。后门的价格为两个月许可证的价格为500($ 5),一年2,200次摩擦(21美元),终身订阅的价格为4,200次摩擦(40美元)。

主要在俄罗斯地下论坛上出售,Dcrat是我们遇到过的最便宜的商业老鼠之一。这款后门的价格为两个月的订阅价格为500摩擦(不到5英镑/6美元),在特价促销活动中偶尔下降甚至降低。难怪它如此受欢迎专业威胁参与者以及剧本孩子。阅读BlackBerry发表的报告。

作者实施了有效的恶意软件,并继续有效地维护它。研究人员指出,这种恶意软件的价格是俄罗斯地下论坛上这样的标准价格的一小部分。

Dcrat在2018年首次出现在威胁环境中,但一年后重新设计了

Dcrat用.NET编写,并具有模块化结构,分支机构可以使用称为Dcrat Studio的专用集成开发环境(IDE)开发自己的插件。

模块化体系结构恶意软件允许为多种恶意目的扩展其功能,包括监视,侦察,信息盗窃,DDOS攻击和任意代码执行。

DCRAT由三个组件组成:

sheterer/client executableabablea executablealea executableaeapecutableaeagutableaeagutableaeagutableaeagutableaeagutableaeagutableaa单PHP页面,用作通讯和控制(C2)端点/互动管理员工具所有DCRAT营销和销售操作都是通过流行的俄罗斯黑客攻击论坛Lolz [。] Guru完成的,该论坛也可以处理一些Dcrat Pre-Sales Pre-Sales查询。DCRAT支持主题在此处提供给更广泛的公众,而主DCRAT产品线程仅限于注册用户。继续报告。

恶意软件正在积极开发中,作者通过大约3K订户的专用电报频道宣布任何新闻和更新。dcrat

Dcrat Telegram宣布折扣和价格特价(Source BlackBerry)

最近几个月,研究人员观察到DCRAT客户被使用,并通过使用  cobalt Strike beacons 通过 )。

dcrat还实现了杀戮开关,这将使DCRAT管理员工具的所有实例Unusab的所有实例LE,无论订户许可有效性如何。

管理员工具 允许订户登录到活动的C2服务器,配置(和生成)DCRAT客户端可执行的构建,在受感染的系统上执行命令
[
[ [ [ [

[ [ [ 专家得出的结论是,每天都保持老鼠,这意味着作者正在全职工作。 在这种威胁中肯定有编程选择,这表明这是新手恶意软件作者't尚未找到适当的定价结构。选择在JPHP中编程威胁,并添加一个奇怪的非功能感染计数器,肯定会朝这个方向指出。这可能是从作者试图臭名昭著的作者,他们必须尽快使人们尽快流行。结论还包括妥协指标(IOC)的报告。虽然作者明显的缺乏经验可能会使这种恶意工具看起来似乎较不吸引人,有些人可以将其视为机会。经验丰富的威胁行为者可能将这种不足的经验视为卖点,因为作者似乎花了很多时间和精力来取悦其客户。 请投票赞成为安全事务作为最好的欧洲人。网络安全博客作者颁奖2022投票给您的获奖者在“弱者最佳个人(非商业)安全博客和技术WHIZ最佳技术博客和其他选择的其他节目中为我投票。提名,请访问:请访问: https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqrbqryjgcryjgcryjgcow/viewform  

- END -

看更多