В мае 2023 года eSentire выявили DcRAT, клон AsyncRAT, у клиента из сферы бытовых услуг. DcRAT - это инструмент удаленного доступа с возможностями кражи информации и выкупа. Вредоносная программа активно распространяется с помощью откровенных заманух на страницах OnlyFans и другого контента для взрослых.
Dark Crystal RAT (DCRat)
В замеченных случаях жертв заманивали скачать Zip-файлы, содержащие загрузчик VBScript, который выполняется вручную. Судя по названию файлов, жертв заманивали с помощью откровенных фотографий или контента OnlyFans для различных актрис фильмов для взрослых.
Из-за отсутствия телеметрии eSentire не смогли определить, как жертвы получали Zip-файл в майском случае. Анализ образцов, представленных на VirusTotal, датирует эту активность январем 2023 года, а новые образцы были представлены 4 июня 2023 года.
Загрузчик (MD5 43876a44cc7736ff6432cb5d14c844fe) представляет собой слегка измененную версию этого файла VBScript, проанализированного Splunk в 2021 году. Сценарий представляет собой легитимный сценарий Windows, связанный с принтером, модифицированный для включения загрузчика.
Сценарий содержит ту же общую функциональность, что и предыдущие версии; таким образом, это будет лишь краткий обзор:
- Полезная нагрузка, dynwrapx.dll и шеллкод встроены в файл и закодированы в шестнадцатеричном формате, перевернуты и дополнены нежелательными символами. Строки инвертируются, а лишние символы заменяются во время выполнения.
- Небольшим изменением по сравнению с другими версиями является использование нежелательных строк длиной 3 символа, таких как ("X_x") на изображении ниже. Поскольку строка инвертируется перед выполнением функции replace(), фактическая строка для замены должна быть "x_X". К счастью для тех, кто изменил сценарий, эта функция VBScript не чувствительна к регистру.
- Проверяет архитектуру ОС (операционных систем) с помощью WMI (Windows Management Instrumentation) и при необходимости порождает новый 32-битный процесс.
Извлекает встроенный файл dynwrapx.dll, декодирует его и регистрирует с помощью Regsvr32 для получения доступа к объекту DynamicWrapperX.
Использует объект для загрузки CallWindowProcW из user32.dll и VirtualAlloc из kernel32.dll. - Загружает полезную нагрузку (BinaryData) в память, затем вызывает CallWindowProcW для выполнения шеллкода, в итоге внедряя полезную нагрузку в \Microsoft.NET\Framework\v4.0.30319\RegAsm.exe.
В наблюдаемых случаях полезной нагрузкой был DcRAT, который внедрялся в RegAsm.exe. Не путать с Dark Crystal RAT, этот инструмент удаленного доступа является модифицированной версией популярного AsyncRAT. Код DcRAT доступен на GitHub, хотя автор решил архивировать его в феврале 2022 года из-за "злоупотреблений".
Indicators of Compromise
IPv4
- 141.95.84.40
MD5
- 43876a44cc7736ff6432cb5d14c844fe
- 87fb8606f8fc38278112d5de9479f85c
- 9ea7ad97f219592366510d75fc945ea2