Malware Stealthy SeroXen RAT cada vez mais usado para atacar jogadores
1 de Junho de 2023

Um remote access trojan (RAT) furtivo chamado 'SeroXen' recentemente ganhou popularidade, pois os cibercriminosos começaram a usá-lo por suas baixas taxas de detecção e poderosas capacidades.

Segundo a AT&T, o malware é vendido sob a aparência de uma ferramenta legítima de acesso remoto para Windows 11 e 10 por US$ 15/mês ou um único pagamento de licença vitalícia de US$ 60.

Embora comercializado como um programa legítimo, a plataforma de inteligência cibernética da Flare Systems mostrou que o SeroXen é promovido como um trojan de acesso remoto em fóruns de hackers.

Não está claro se os que o promovem nos fóruns são os desenvolvedores ou revendedores duvidosos.

No entanto, o baixo custo do programa de acesso remoto o torna muito acessível a atores de ameaças, com a AT&T observando centenas de amostras desde sua criação em setembro de 2022, com a atividade aumentando recentemente.

A maioria das vítimas do SeroXen está na comunidade de jogos, mas à medida que a popularidade da ferramenta aumenta, o escopo de segmentação pode se ampliar para incluir grandes empresas e organizações.

O SeroXen é baseado em vários projetos de código aberto, incluindo Quasar RAT, o rootkit r77 e a ferramenta de linha de comando NirCmd.

A AT&T comenta no relatório que "o desenvolvedor do SeroXen encontrou uma combinação formidável de recursos gratuitos para desenvolver um RAT difícil de detectar na análise estática e dinâmica".

O Quasar RAT, que o SeroXen usa como base, é uma ferramenta leve de administração remota lançada em 2014.

Sua versão mais recente, 1.41, apresenta proxy reverso, shell remoto, desktop remoto, comunicação TLS e um sistema de gerenciamento de arquivos, e está disponível gratuitamente no GitHub.

O rootkit r77 (Ring 3) é um rootkit de código aberto que oferece persistência sem arquivo, hooking de processo filho, incorporação de malware, injeção de processo em memória e evasão de antivírus.

O NirCmd é um utilitário gratuito que executa tarefas simples de gerenciamento do sistema e periféricos do Windows a partir da linha de comando.

A AT&T viu ataques empurrando o SeroXen por meio de e-mails de phishing ou canais do Discord, onde os cibercriminosos distribuem arquivos ZIP fortemente ofuscados.

O arquivo em lote extrai dois binários de texto codificado em base64 e os carrega na memória usando reflexão .NET.

O único arquivo que toca o disco é uma versão modificada do msconfig.exe, necessária para a execução do malware, e é temporariamente armazenado no diretório "C:\Windows\System32\" (observe o espaço extra) com vida curta que é excluído assim que o programa é instalado.

Este arquivo em lote finalmente implanta um payload chamado "InstallStager.exe", uma variante do rootkit r77.

O rootkit é armazenado de forma ofuscada no registro do Windows e é ativado posteriormente usando o PowerShell via o Agendador de Tarefas, injetando-o em "winlogon.exe".

O rootkit r77 injeta o SeroXen RAT na memória do sistema, garantindo que ele permaneça indetectável e agora oferecendo acesso remoto ao dispositivo.

Uma vez lançado o malware de acesso remoto, ele estabelece comunicação com o servidor de comando e controle e aguarda comandos emitidos pelos atacantes.

Os analistas descobriram que o SeroXen usa o mesmo certificado TLS que o QuasarRAT e apresenta a maioria das capacidades do projeto original, incluindo suporte a fluxo de rede TCP, serialização de rede eficiente e compressão QuickLZ.

A AT&T teme que a crescente popularidade do SeroXen atraia hackers interessados em atacar grandes organizações em vez de se concentrarem em jogadores e lançou indicadores de comprometimento para uso por defensores de rede.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...