Agentes de ameaças operando sob o nome Anonymous Arabic lançaram um trojan de acesso remoto (RAT) chamado Silver RAT, equipado para contornar softwares de segurança e lançar aplicativos ocultos de forma furtiva.
"Os desenvolvedores operam em vários fóruns de hackers e plataformas de mídia social, mostrando uma presença ativa e sofisticada", disse a empresa de cibersegurança Cyfirma em um relatório publicado na semana passada.
Os atores, avaliados como de origem síria e ligados ao desenvolvimento de outro RAT conhecido como S500 RAT, também administram um canal no Telegram oferecendo vários serviços, como a distribuição de RATs crackeados, bancos de dados vazados, atividades de carding e a venda de bots do Facebook e X (anteriormente Twitter).
Os bots de mídia social são então utilizados por outros criminosos cibernéticos para promover vários serviços ilícitos, interagindo e comentando automaticamente o conteúdo dos usuários.
Detecções in-the-wild do Silver RAT v1.0 foram observadas pela primeira vez em novembro de 2023, embora os planos do ator de ameaças de lançar o Trojan tenham sido oficializados um ano antes.
Ele foi crackeado e vazado no Telegram por volta de outubro de 2023.
O malware baseado em C# se orgulha de uma ampla gama de recursos para se conectar a um servidor de comando e controle (C2), registrar pressionamentos de teclas, destruir pontos de restauração do sistema e até criptografar dados usando ransomware.
Há também indicações de que uma versão para Android está em desenvolvimento.
"Ao gerar um payload usando o construtor do Silver RAT, os agentes de ameaças podem selecionar várias opções com um tamanho de payload de até 50kb", observou a empresa.
"Uma vez conectada, a vítima aparece no painel do Silver RAT controlado pelo atacante, que exibe os logs da vítima com base nas funcionalidades escolhidas."
Um recurso de evasão interessante incorporado ao Silver RAT é sua capacidade de atrasar a execução do payload por um tempo específico, bem como lançar secretamente aplicativos e assumir o controle do host comprometido.
Uma análise mais aprofundada da presença online do autor do malware mostra que um dos membros do grupo provavelmente está na casa dos vinte e poucos anos e baseado em Damasco.
"O desenvolvedor [...] parece apoiar a Palestina com base em suas postagens no Telegram, e os membros associados a este grupo estão ativos em várias arenas, incluindo mídia social, plataformas de desenvolvimento, fóruns underground e sites Clearnet, sugerindo seu envolvimento na distribuição de vários malwares", disse a Cyfirma.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...