Dark Crystal RAT (DCRat) IOCs

security Security

"DCRat - одна из самых дешевых коммерческих RAT, с которыми мы когда-либо сталкивались. Цена на этот бэкдор начинается от ($6) за двухмесячную подписку и иногда опускается еще ниже во время специальных акций", - сообщают исследователи BlackBerry.

Dark Crystal RAT

BlackBerry заявила, что продажа бюджетного RAT осуществляется киберпреступником под ником "boldenis44" или "crystalcoder".

Возможности RAT включают "исполняемый файл stealer/клиент", одну PHP-страницу, которая служит конечной точкой управления и инструментом администратора.

DCRat в некотором смысле является любительской программой, утверждают исследователи. "В этой угрозе, безусловно, есть программные решения, которые указывают на то, что автор вредоносного ПО - новичок", - пишут они.

"Инструмент администратора представляет собой отдельный исполняемый файл, написанный на языке программирования JPHP - неясной реализации PHP, которая работает на виртуальной машине Java", - написали в BlackBerry.

JPHP, отметили они, является простым в использовании языком, предназначенным для начинающих разработчиков настольных игр. "Автор вредоносной программы мог выбрать этот формат, потому что он не особенно известен, или ему не хватало навыков программирования на других, более распространенных языках".

Еще одна странная причуда, отмечают исследователи, заключается в том, что автор вредоносной программы "реализовал функцию, которая отображает случайно сгенерированное количество "работающих серверов" и "пользователей онлайн", которые должны появляться в качестве статистики на заднем плане инструмента администратора". Возможно, они пытаются сделать свой инструмент более популярным, или просто не знают, как реализовать точный счетчик, и использовали псевдосчетчик в качестве временной замены".

Тем не менее, в большинстве аспектов DCRat значительно превосходит свои возможности.

Наряду с кражей, командно-контрольным интерфейсом и инструментом администратора, вредоносная программа обладает высокой степенью настраиваемости, что свидетельствует о более высоком уровне сложности попыток. Модульная архитектура позволяет клиентам RAT создавать и распространять собственные плагины.

"Модульная архитектура DCRat и индивидуальная система плагинов делают его очень гибким, - пишут исследователи, - полезным для целого ряда гнусных целей. Это наблюдение, разведка, кража информации, DDoS-атаки, а также динамическое выполнение кода на множестве различных языков".

Персонализация предотвращает устаревание DCRat даже спустя три года. Это, а также постоянная забота и внимание, которые уделяет ему автор. "Инструмент администратора и бэкдор/клиент регулярно обновляются с исправлением ошибок и новыми возможностями; то же самое относится и к официально выпущенным плагинам". Исследователи отметили конкретный случай в 2020 году, когда компания Mandiant опубликовала подробный обзор клиента DCRat. "Всего через несколько дней после выхода этого отчета", чтобы побороть нежелательное внимание, "автор вредоносной программы переместил распространение RAT на новый домен".
DCRat - это выброс или предзнаменование?

Текущая стоимость составляет около $7 за двухмесячную аренду. За год - $33, а за пожизненную подписку - $63.

Исследователи предполагают, что низкая цена объясняется тем, что преступники, стоящие за вредоносной программой, просто ищут внимания. "Возможно, они просто забрасывают широкую сеть, - предположили исследователи, - пытаясь получить немного денег от большого количества злонамеренно настроенных людей. Также может быть, что у них есть альтернативный источник финансирования, или это проект их страсти, а не основной источник дохода".

Пока неясно, станет ли DCRat исключением на форумах киберпреступников или новым прецедентом. Последствия могут быть значительными. Если эффективное вредоносное ПО стоит так же дешево, как чашка кофе, сколько еще людей может быть привлечено к его созданию? И насколько более мощными могут оказаться их атаки?

"Самые крупные, самые яркие группы угроз могут прославить свое имя, - заключили исследователи, - но это не обязательно те киберпреступники, которые не дают спать по ночам специалистам по безопасности".

Indicators of Compromise

Domains

  • dcrat.ru
  • crystalfiles.ru

SHA256

  • 9967ea3c3d1aee8db5a723f714fba38d2fc26d8553435ab0e1d4e123cd211830
  • 6014d44d8f7da00f03db051b3dcea9a03ec3837977118c69a4512ef558a6df2a
  • cf4068ebb5ecd47adec92afba943aea4eb2fee40871330d064b69770cccb9e23
  • 5b37e8ff2850a4cbb02f9f02391e9f07285b4e0667f7e4b2d4515b78e699735a
  • 4aef566bbf3f0b56769a0c45275ebbf7894e9ddb54430c9db2874124b7cea288
  • d637e3326f87a173abd5f51ac98906a3237b9e511d07d31d6aafcf43f33dac17
  • c25d7a7b8f0715729bccb817e345f0fdd668dd4799c8dab1a4db3d6a37e7e3e4
  • 2d43eb5ea9e133d2ee2405cc14f5ee08951b8361302fdd93494a3a997b508d32
  • 15f36830124fc7389e312cf228b952024a8ce8601bf5c4df806bc395d47db669
  • 9c287472408857301594f8f7bda108457f6fdae6e25c87ec88dbf3012e5a98b6
  • 434e57fffc7df0b725c1d95cabafdcdb83858ccb3e5e728a74d3cf33a0ca9c79
  • 0f26584763ef1c5ec07d1f310f0b6504bc17732f04e37f4eb101338803be0dc4
  • 4bec0794a0d69debe2f955bf495ea7c0858ad84cb0d2d549cacb82e70c060cba
  • 03ead999502aefbf1380bd2e9c4a407acb7a92a7b2fe61f6995aba3fca85efd4
  • d0680ac62e94f953df031533acd0acb718ad8494f938d84198c655507709e5df
  • 914cca033fc8ca52830a21b5dca55263cee1e74ab5571702906ee9c25aedafd7
  • 812cd4b5e80bc4e83a2e01a6f3fb24346ecf57dcaf8ff6fc3e55a2a6b953da23
  • b11ad1adfa96eacf5f18cf87785884947a6d35a1baebf4f20f16402b04d5109f
  • a0b6bb521e52a99abf5ac1017302da014d37296619078d42d9edf5d86d137f63
  • 38274608d5a4b53ec22f8099f798ba46ce0ed41db65a33dfb3853f0dbf849f6f
  • c41cd461470ff3c936e225cea37e5190cb06e3cd70a3d76ca8e5d3aceead5493
  • 770d7b5e40ed9b0aff5d0e3fc2ccf9ba10d4925d3441f38b71a35bd26e6e8d98
  • 35a21f1aebf8ea0ab9be1814131fec1fa079d91b701e505054b69eccbdfd0732
  • db28575f61b1adc88a28ae51ce3b00226e4974ca60894896e414ea408c6ff9fe
  • ca08ed8423afda4b41757a1f3adf4f855732dc0628fe2ea5d8a96b13f56b9f84
  • 2293fe261d5c6f5f2a33004b11f068037677b7aa5a6f792031e31555f31f0d69
  • 83445595d38a8e33513b33dfc201983af4746e5327c9bed470a6282d91d539b6e
  • 817802f166662a7df0b144571354d74b10e34d120f91ae9d84ca3ba925241c6
  • 78684aea83b1a5c402a87ba0ce2e7ad5b0338462cc804e97369203ce53d29834
  • 5981e508e89c65c445fca892e91b8ec39b1d8563804d0999d963d640aa592444
  • d634cde09d1aa1320a1d4c589d35d306f8350129faf225b2bca394128c2c4442
  • 1317d70682bd11e5d320af850d6ecbb5a70c200d626ec7bf69c47566894db515
Добавить комментарий