Peneliti keamanan siber telah mengungkapkan kampanye malware baru yang memanfaatkan pemuat malware bernama PureCrypter untuk mengirimkan komoditas trojan akses jarak jauh (RAT) yang disebut DarkVision RAT.
Aktivitas tersebut, yang diamati oleh Zscaler ThreatLabz pada Juli 2024, melibatkan proses multi-tahap untuk mengirimkan muatan RAT.
“DarkVision RAT berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol jaringan khusus melalui soket,” kata peneliti keamanan Muhammed Irfan VA dalam sebuah analisis.
“DarkVision RAT mendukung berbagai perintah dan plugin yang memungkinkan kemampuan tambahan seperti keylogging, akses jarak jauh, pencurian kata sandi, perekaman audio, dan tangkapan layar.”
PureCrypter, pertama kali diungkapkan secara publik pada tahun 2022, adalah pemuat malware siap pakai yang tersedia untuk dijual dengan basis berlangganan, menawarkan pelanggan kemampuan untuk mendistribusikan pencuri informasi, RAT, dan ransomware.
Vektor akses awal yang tepat yang digunakan untuk menghadirkan PureCrypter dan, lebih jauh lagi, DarkVision RAT tidak sepenuhnya jelas, meskipun hal ini membuka jalan bagi executable .NET yang bertanggung jawab untuk mendekripsi dan meluncurkan pemuat Donut sumber terbuka.
Pemuat Donat selanjutnya meluncurkan PureCrypter, yang pada akhirnya membongkar dan memuat DarkVision, sekaligus menyiapkan persistensi dan menambahkan jalur file serta nama proses yang digunakan oleh RAT ke daftar pengecualian Antivirus Pertahanan Microsoft.
Kegigihan dicapai dengan mengatur tugas terjadwal menggunakan antarmuka ITaskService COM, kunci autorun, dan membuat skrip batch yang berisi perintah untuk mengeksekusi executable RAT dan menempatkan pintasan ke skrip batch di folder startup Windows.
RAT, yang pertama kali muncul pada tahun 2020, diiklankan di situs clearnet hanya dengan $60 untuk pembayaran satu kali, menawarkan tawaran yang menarik bagi pelaku ancaman dan calon penjahat dunia maya dengan sedikit pengetahuan teknis yang ingin melakukan aksinya. serangan sendiri.
Dikembangkan dalam C++ dan perakitan (alias ASM) untuk “kinerja optimal”, RAT hadir dengan serangkaian fitur ekstensif yang memungkinkan injeksi proses, shell jarak jauh, proksi terbalik, manipulasi papan klip, keylogging, pengambilan tangkapan layar, serta pemulihan cookie dan kata sandi dari browser web, antara lain.
Ini juga dirancang untuk mengumpulkan informasi sistem dan menerima plugin tambahan yang dikirim dari server C2, menambah fungsinya lebih jauh dan memberikan operator kendali penuh atas host Windows yang terinfeksi.
“DarkVision RAT mewakili alat yang ampuh dan serbaguna untuk penjahat dunia maya, menawarkan beragam kemampuan jahat, mulai dari keylogging dan tangkapan layar hingga pencurian kata sandi dan eksekusi jarak jauh,” kata Zscaler.
“Fleksibilitas ini, dikombinasikan dengan biaya rendah dan ketersediaan di forum peretasan dan situs web mereka, telah membuat DarkVision RAT semakin populer di kalangan penyerang.”
