Siber suçlular düşük algılama oranları ve güçlü yetenekleri için kullanmaya başladığı için 'Seroxen' adlı gizli bir uzaktan erişim Truva atı (sıçan) son zamanlarda popülerlik kazandı.
AT&T, kötü amaçlı yazılımların Windows 11 ve 10 için meşru bir uzaktan erişim aracı kisvesi altında 15 $/ay veya 60 $ 'lık tek bir "ömür boyu" lisans ödemesi ile satıldığını bildirir.
Meşru bir program olarak pazarlanırken, Flare Systems Cyber Intel platformu, Seroxen'in hack forumlarında uzaktan erişim truva atı olarak tanıtıldığını göstermiştir. Forumlarda tanıtanların geliştiriciler mi yoksa gölgeli satıcılar mı olduğu belirsizdir.
Bununla birlikte, uzaktan erişim programının düşük maliyeti, tehdit aktörleri için çok erişilebilir hale getiriyor, AT&T Eylül 2022'de yaratılmasından bu yana yüzlerce örneği gözlemliyor ve faaliyet son zamanlarda arttı.
Seroxen kurbanlarının çoğu oyun topluluğunda, ancak aracın popülaritesi arttıkça, hedefleme kapsamı büyük şirketleri ve kuruluşları içerecek şekilde genişleyebilir.
Seroxen, Quasar Rat, R77 rootkit ve NIRCMD komut satırı aracı dahil olmak üzere çeşitli açık kaynaklı projelere dayanmaktadır.
AT & T, "Seroxen geliştiricisi, statik ve dinamik analiz sıçanında tespit edilmesi zor bir tespit etmek için müthiş bir serbest kaynak kombinasyonu buldu."
"Quasar gibi ayrıntılı bir açık kaynaklı sıçanın kullanılması, ilk görünüşünden bu yana neredeyse on yıl ile sıçan için avantajlı bir temel oluştururken […] NIRCMD ve R77-Rootkit kombinasyonu karışıma mantıklı eklemelerdir, çünkü bunlar Aracı daha zor ve daha zor hale getirin. "
Seroxen'in temeli olarak kullandığı Quasar Rat, 2014 yılında ilk kez yayınlanan hafif bir uzaktan yönetim aracıdır. En son sürümü, 1.41, ters proxy, uzak kabuk, uzak masaüstü, TLS iletişimi ve bir dosya yönetim sistemi içerir ve serbestçe kullanılabilir Github aracılığıyla.
R77 (halka 3) rootkit, dosyasız kalıcılık, çocuk süreci kancası, kötü amaçlı yazılım gömme, bellek içi işlem enjeksiyonu ve antivirüs kaçakçılığı sunan açık kaynaklı bir rootkittir.
NIRCMD, komut satırından basit Windows sistemi ve çevre yönetimi görevlerini gerçekleştiren bir ücretsiz yardımcı programdır.
AT&T, siber suçluların yoğun bir şekilde gizlenmiş parti dosyaları içeren zip arşivlerini dağıttığı kimlik avı e -postaları veya anlaşmazlık kanalları aracılığıyla Seroxen'i iten saldırılar gördü.
Toplu iş dosyası, Base64 kodlu metinden iki ikili dosyayı çıkarır ve .NET yansımasını kullanarak bunları belleğe yükler.
Diske dokunan tek dosya, kötü amaçlı yazılım yürütmesi için gerekli olan ve kısa ömürlü "C: \ Windows \ System32 \" (ekstra alana dikkat edin) dizininde geçici olarak saklanan msconfig.exe'nin değiştirilmiş bir sürümüdür. Program yüklendikten sonra silinir.
Bu toplu iş dosyası nihayetinde R77 rootkit'in bir varyantı olan "installStager.exe" adlı bir yükü dağıtır.
Rootkit, Windows kayıt defterinde gizlenmiş bir biçimde saklanır ve daha sonra PowerShell kullanılarak "Winlogon.exe" e enjekte ederek etkinleştirilir.
R77 rootkit, seroksen sıçanını sistemin belleğine enjekte eder, tespit edilmemesini sağlar ve şimdi cihaza uzaktan erişim sağlar.
Uzaktan Erişim kötü amaçlı yazılımı başlatıldıktan sonra, komut ve kontrol sunucusu ile iletişim kurar ve saldırganlar tarafından verilen komutları bekler.
Analistler, Seroxen'in Quasarrat ile aynı TLS sertifikasını kullandığını ve TCP ağ akışı desteği, verimli ağ serileştirme ve Quicklz sıkıştırma dahil olmak üzere orijinal projenin yeteneklerinin çoğunu içerdiğini buldu.
AT&T, Seroxen'in artan popülaritesinin, oyunculara odaklanmak yerine büyük kuruluşları hedeflemekle ilgilenen bilgisayar korsanlarını çekeceğinden ve ağ savunucuları tarafından kullanım için uzlaşma göstergelerini yayınlayacağından korkuyor.
50.000 kurulum ile uygulamada gizli yeni Ahrat Android kötü amaçlı yazılım
Romcom kötü amaçlı yazılım, chatgpt, gimp, daha fazla google reklamları aracılığıyla yayıldı
NPM paketleri, nodej'leri taklit eden Türkorat ikili işler sunarken yakalandı
PYPI, yüksek hacimli kötü amaçlı yazılımların ortasında projeleri geçici olarak durduruyor
Yeni Lobshot kötü amaçlı yazılım, bilgisayar korsanlarına Windows cihazlarına gizli VNC erişimini sağlar
Kaynak: Bleeping Computer