Pesquisadores de cibersegurança divulgaram uma nova campanha de malware que utiliza um carregador de malware chamado PureCrypter para entregar um RAT (Remote Access Trojan) genérico conhecido como DarkVision RAT.
A atividade, observada pela Zscaler ThreatLabz em julho de 2024, envolve um processo multiestágio para entregar o payload do RAT.
"O DarkVision RAT comunica-se com seu servidor C2 usando um protocolo de rede customizado via sockets", disse o pesquisador de segurança Muhammed Irfan V A em uma análise.
O DarkVision RAT suporta uma ampla gama de comandos e plugins que habilitam capacidades adicionais como keylogging, acesso remoto, roubo de senhas, gravação de áudio e captura de tela.
O PureCrypter, divulgado publicamente pela primeira vez em 2022, é um carregador de malware pronto para o uso que está disponível para venda em uma base de assinatura, oferecendo aos clientes a capacidade de distribuir stealers de informações, RATs e ransomware.
A exata forma de acesso inicial usado para entregar o PureCrypter e, por extensão, o DarkVision RAT não é exatamente clara, embora abra caminho para um executável .NET responsável por descriptografar e lançar o carregador Donut de código aberto.
O carregador Donut, subsequente, prossegue para lançar o PureCrypter, que por fim descompacta e carrega o DarkVision, ao mesmo tempo que configura a persistência e adiciona os caminhos de arquivo e nomes de processo usados pelo RAT à lista de exclusões do Microsoft Defender Antivirus.
A persistência é alcançada configurando tarefas agendadas usando a interface COM ITaskService, chaves autorun e criando um script em lote que contém um comando para executar o executável do RAT e colocando um atalho para o script em lote na pasta de inicialização do Windows.
O RAT, que inicialmente apareceu em 2020, é anunciado em um site clearnet por tão pouco quanto $60 por um pagamento único, oferecendo uma proposta atraente para atores de ameaças e cibercriminosos aspirantes com pouco conhecimento técnico que estão procurando montar seus próprios ataques.
Desenvolvido em C++ e assembly (conhecido também como ASM) para "desempenho ótimo", o RAT vem com um conjunto extenso de recursos que permitem injeção de processo, shell remoto, proxy reverso, manipulação da área de transferência, keylogging, captura de tela e recuperação de cookies e senhas de navegadores web, entre outros.
Ele também é projetado para coletar informações do sistema e receber plugins adicionais enviados de um servidor C2, aumentando ainda mais sua funcionalidade e concedendo aos operadores controle total sobre o host Windows infectado.
"O DarkVision RAT representa uma ferramenta potente e versátil para cibercriminosos, oferecendo uma ampla variedade de capacidades maliciosas, desde keylogging e captura de tela até roubo de senhas e execução remota", disse a Zscaler.
Esta versatilidade, combinada com seu baixo custo e disponibilidade em fóruns de hack e em seu site, tornou o DarkVision RAT cada vez mais popular entre os atacantes.
Os achados coincidem com o surgimento de um novo carregador de malware apelidado de Pronsis Loader que tem sido usado em campanhas entregando o Lumma Stealer e o Latrodectus.
A versão mais antiga data de novembro de 2023.
"O Pronsis Loader é um malware recém-identificado que apresenta semelhanças com o D3F@ck Loader", disseram os pesquisadores da Trustwave Cris Tomboc e King Orande.
Ambos utilizam executáveis compilados em JPHP, tornando-os facilmente intercambiáveis.Entretanto, uma área em que divergem é nas abordagens de instalação: enquanto o D3F@ck Loader usa o Inno Setup Installer, o Pronsis Loader aproveita o Nullsoft Scriptable Install System (NSIS).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...