Um remote access trojan (RAT) furtivo chamado 'SeroXen' recentemente ganhou popularidade, pois os cibercriminosos começaram a usá-lo por suas baixas taxas de detecção e poderosas capacidades.
Segundo a AT&T, o malware é vendido sob a aparência de uma ferramenta legítima de acesso remoto para Windows 11 e 10 por US$ 15/mês ou um único pagamento de licença vitalícia de US$ 60.
Embora comercializado como um programa legítimo, a plataforma de inteligência cibernética da Flare Systems mostrou que o SeroXen é promovido como um trojan de acesso remoto em fóruns de hackers.
Não está claro se os que o promovem nos fóruns são os desenvolvedores ou revendedores duvidosos.
No entanto, o baixo custo do programa de acesso remoto o torna muito acessível a atores de ameaças, com a AT&T observando centenas de amostras desde sua criação em setembro de 2022, com a atividade aumentando recentemente.
A maioria das vítimas do SeroXen está na comunidade de jogos, mas à medida que a popularidade da ferramenta aumenta, o escopo de segmentação pode se ampliar para incluir grandes empresas e organizações.
O SeroXen é baseado em vários projetos de código aberto, incluindo Quasar RAT, o rootkit r77 e a ferramenta de linha de comando NirCmd.
A AT&T comenta no relatório que "o desenvolvedor do SeroXen encontrou uma combinação formidável de recursos gratuitos para desenvolver um RAT difícil de detectar na análise estática e dinâmica".
O Quasar RAT, que o SeroXen usa como base, é uma ferramenta leve de administração remota lançada em 2014.
Sua versão mais recente, 1.41, apresenta proxy reverso, shell remoto, desktop remoto, comunicação TLS e um sistema de gerenciamento de arquivos, e está disponível gratuitamente no GitHub.
O rootkit r77 (Ring 3) é um rootkit de código aberto que oferece persistência sem arquivo, hooking de processo filho, incorporação de malware, injeção de processo em memória e evasão de antivírus.
O NirCmd é um utilitário gratuito que executa tarefas simples de gerenciamento do sistema e periféricos do Windows a partir da linha de comando.
A AT&T viu ataques empurrando o SeroXen por meio de e-mails de phishing ou canais do Discord, onde os cibercriminosos distribuem arquivos ZIP fortemente ofuscados.
O arquivo em lote extrai dois binários de texto codificado em base64 e os carrega na memória usando reflexão .NET.
O único arquivo que toca o disco é uma versão modificada do msconfig.exe, necessária para a execução do malware, e é temporariamente armazenado no diretório "C:\Windows\System32\" (observe o espaço extra) com vida curta que é excluído assim que o programa é instalado.
Este arquivo em lote finalmente implanta um payload chamado "InstallStager.exe", uma variante do rootkit r77.
O rootkit é armazenado de forma ofuscada no registro do Windows e é ativado posteriormente usando o PowerShell via o Agendador de Tarefas, injetando-o em "winlogon.exe".
O rootkit r77 injeta o SeroXen RAT na memória do sistema, garantindo que ele permaneça indetectável e agora oferecendo acesso remoto ao dispositivo.
Uma vez lançado o malware de acesso remoto, ele estabelece comunicação com o servidor de comando e controle e aguarda comandos emitidos pelos atacantes.
Os analistas descobriram que o SeroXen usa o mesmo certificado TLS que o QuasarRAT e apresenta a maioria das capacidades do projeto original, incluindo suporte a fluxo de rede TCP, serialização de rede eficiente e compressão QuickLZ.
A AT&T teme que a crescente popularidade do SeroXen atraia hackers interessados em atacar grandes organizações em vez de se concentrarem em jogadores e lançou indicadores de comprometimento para uso por defensores de rede.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...