Para Pakar Suara Alarm di Backdoor DCRat Dijual di Forum Peretasan Rusia

DCRat Backdoor

Peneliti cybersecurity telah menjelaskan trojan akses jarak jauh yang dipelihara secara aktif yang disebut DCRat (alias DarkCrystal RAT) yang ditawarkan dengan harga “murah sekali”, membuatnya dapat diakses oleh kelompok penjahat cyber profesional dan aktor pemula.

“Tidak seperti kelompok ancaman besar Rusia yang didanai dengan baik, membuat malware khusus […]Trojan akses jarak jauh (RAT) ini tampaknya merupakan karya aktor tunggal, menawarkan alat buatan sendiri yang sangat efektif untuk membuka pintu belakang dengan anggaran terbatas,” kata peneliti BlackBerry dalam sebuah laporan yang dibagikan kepada The Hacker News.

“Faktanya, RAT komersial aktor ancaman ini dijual di sebagian kecil dari harga standar alat-alat seperti perintah di forum bawah tanah Rusia.”

Ditulis dalam .NET oleh individu dengan nama kode “boldenis44” dan “crystalcoder,” DCRat adalah pintu belakang berfitur lengkap yang fungsinya dapat lebih ditingkatkan dengan plugin pihak ketiga yang dikembangkan oleh afiliasi menggunakan lingkungan pengembangan terintegrasi khusus (IDE) yang disebut DCRat Studio.

Ini pertama kali dirilis pada 2018, dengan pengiriman versi 3.0 pada 30 Mei 2020, dan versi 4.0 diluncurkan hampir setahun kemudian pada 18 Maret 2021.

Harga untuk trojan mulai dari 500 RUB ($5) untuk lisensi dua bulan, 2.200 RUB ($21) untuk satu tahun, dan 4.200 RUB ($40) untuk langganan seumur hidup, angka yang selanjutnya dikurangi selama promosi khusus.

Related Post :   Rincian Pakar Saintstealer dan Prynt Stealer Info-Mencuri Keluarga Malware

Sementara analisis sebelumnya oleh Mandiant pada Mei 2020 menelusuri infrastruktur RAT ke files.dcrat[.]ru, bundel malware saat ini dihosting di domain berbeda bernama crystalfiles[.]ru, menunjukkan pergeseran dalam menanggapi pengungkapan publik.

Pintu Belakang DCRat

“Semua operasi pemasaran dan penjualan DCRat dilakukan melalui forum peretasan Rusia yang populer lolz[.]guru, yang juga menangani beberapa pertanyaan pra-penjualan DCRat,” kata para peneliti.

Juga aktif digunakan untuk komunikasi dan berbagi informasi tentang pembaruan perangkat lunak dan plugin adalah saluran Telegram yang memiliki sekitar 2.847 pelanggan pada saat penulisan.

Pintu Belakang DCRat

Pesan yang diposting di saluran dalam beberapa minggu terakhir mencakup pembaruan untuk plugin CryptoStealer, TelegramNotifier, dan WindowsDefenderExcluder, serta “perubahan/perbaikan kosmetik” pada panel.

“Beberapa fitur Fun telah dipindahkan ke plugin standar,” pesan terjemahan yang dibagikan pada 16 April berbunyi. “Berat bangunannya sedikit berkurang. Seharusnya tidak ada deteksi yang secara khusus ditujukan ke fungsi-fungsi ini.”

Selain arsitektur modular dan kerangka kerja plugin yang dipesan lebih dahulu, DCRat juga mencakup komponen administrator yang dirancang untuk memicu sakelar mematikan secara diam-diam, yang memungkinkan pelaku ancaman untuk membuat alat tersebut tidak dapat digunakan dari jarak jauh.

Utilitas admin, pada bagiannya, memungkinkan pelanggan untuk masuk ke server perintah-dan-kontrol yang aktif, mengeluarkan perintah ke titik akhir yang terinfeksi, dan mengirimkan laporan bug, antara lain.

Vektor distribusi yang digunakan untuk menginfeksi host dengan DCRat termasuk Cobalt Strike Beacons dan traffic direction system (TDS) yang disebut Prometheus, solusi crimeware-as-a-service (CaaS) berbasis langganan yang digunakan untuk mengirimkan berbagai muatan.

Related Post :   Kumpulan Aplikasi Android Berisi Trojan Joker Lainnya Muncul Kembali di Google Play Store

Implan, selain mengumpulkan metadata sistem, mendukung pengawasan, pengintaian, pencurian informasi, dan kemampuan serangan DDoS. Itu juga dapat menangkap tangkapan layar, merekam penekanan tombol, dan mencuri konten dari clipboard, Telegram, dan browser web.

“Plugin baru dan pembaruan kecil diumumkan hampir setiap hari,” kata para peneliti. “Jika ancaman itu dikembangkan dan dipertahankan hanya oleh satu orang, tampaknya itu adalah proyek yang mereka kerjakan penuh waktu.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.