DCRat, также известный как Dark Crystal RAT, является троянским программным обеспечением для удаленного доступа, доступным как вредоносная услуга. Он был разработан на языке C# и имеет типичные возможности RAT, такие как выполнение команд оболочки, регистрация нажатий клавиш и утечка файлов и учетных данных.
Dark Crystal RAT
В прошлом DCRat распространялся через взломанные или поддельные веб-сайты, защищенные паролем архивы и вложения в популярные средства массовой информации, такие как Signal, Cobalt Strike Beacons и почтовый спам с вложениями Excel или PDF. Однако команда Netskope обнаружила новую кампанию, в которой DCRat доставляется с использованием HTML-контрабанды - ранее неизвестной методики доставки DCRat.
HTML-контрабанда является механизмом доставки вредоносной нагрузки путем обфускации через сжатие, кодирование или шифрование. После загрузки HTML вредоносная нагрузка расшифровывается и записывается на диск или требует взаимодействия пользователя для активации.
Анализ HTML-файлов, использованных в кампании, показал, что они поддельно выдавали себя за медиаприложения TrueConf и VK Messenger. Поддельные HTML-страницы содержали защищенные паролем ZIP-архивы, которые после ввода пароля расшифровывались. Код контрабанды был взят из открытого репозитория GitHub. После расшифровки архивов запускались исполняемые файлы DCRat.
В данной кампании злоумышленник использовал защищенный паролем ZIP-файл, чтобы уклониться от обнаружения. Это дало возможность обойти механизмы обнаружения, поскольку пароль не доступен для анализа. Это доказывает эффективность вредоносных программ, защищенных паролем, в обходе механизмов обнаружения.
DCRat упаковывается с помощью .NET Reactor, ConfuserEx, ENIGMA и VMProtect. Образцы, обнаруженные в этой кампании, имеют поведенческие сходства с предыдущими образцами DCRat, описанными в 2022 году.
В целом, DCRat продолжает эволюционировать и адаптироваться для обхода механизмов защиты. Он остается серьезной угрозой для пользователей, особенно русскоязычных, и требует постоянного мониторинга и защиты от стороны организаций и конечных пользователей.
Indicators of Compromise
Domains
- cr87986.tw1.ru
SHA256
- 2c898cc8d4ed2e67effe5362bf7951143563a965057110d6b803b983e7db3eb5
- 60665c8f8ff802fb116a4d761a812911a0cf209e5e56f48fdb566e94cc177c33
- 693e681c06e3b8f374bd5e25daa6c70d4947956f1aa5e1cb7a18f2da0844323f
- 763c1f21d22b7215d36e2dbd52d141d71d9e540c19f631f63f151c283b91f0d8
