Компания Zscaler выпустила отчет о DarkVision RAT - высоконастраиваемом трояне удаленного доступа (RAT), впервые появившемся в 2020 году и завоевавшем популярность благодаря своей доступности и широкому набору функций.
DarkVision RAT
Он позволяет злоумышленникам выполнять различные вредоносные действия, такие как кейлоггинг, захват скриншотов, кража паролей и удаленное выполнение кода. Недавно Zscaler обнаружил, что DarkVision RAT был развернут в сочетании с PureCrypter, известным загрузчиком вредоносного ПО, в кампании, проведенной в июле 2024 года. Атака включает несколько этапов, в том числе расшифровку шеллкода, использование загрузчика Donut и, в конечном итоге, внедрение DarkVision RAT.
После установки DarkVision RAT использует несколько техник, чтобы избежать обнаружения и сохранить свою жизнеспособность на зараженных системах, таких как перехват DLL, исключение из Windows Defender и манипуляции с реестром. Она взаимодействует со своим командно-контрольным (C2) сервером по специальному протоколу и поддерживает множество команд для кражи информации, манипулирования файлами и управления системой жертвы. RAT имеет модульную структуру, а плагины позволяют использовать дополнительные возможности, включая перехват веб-камеры, выключение системы и установку обратного прокси.
Indicators of Compromise
Domain Port Combinations
- severdops.ddns.net:8120
URLs
- nasyiahgamping.com/yknoahdrv.exe
SHA256
- 27ccb9f336282e591e44c65841f1b5bc7f495e8561349977680161e76857be5d
- 6e3346d47044d6df85a07aeda745d88f9cd46b20d22028d231add555bf00bf41
- 7aa49795bbe025328e0aa5d76e46341a95255e13123306311671678fdeabb617
- cd64122c8ee24eaf02e6161d7b74dbe79268f3b7ffb7a8b0691a61ff409f231d