Một nhóm hacker dưới tên Anonymous Arabic đã phát hành một trojan truy cập từ xa (RAT) được gọi là Silver RAT được trang bị để vượt qua phần mềm bảo mật và lén lút khởi chạy các ứng dụng ẩn.
"Các nhà phát triển hoạt động trên nhiều diễn đàn tin tặc và nền tảng truyền thông xã hội, thể hiện sự hiện diện tích cực và tinh vi", công ty an ninh mạng Cyfirma cho biết trong một báo cáo được công bố vào tuần trước.
Các tác nhân, được đánh giá là có nguồn gốc Syria và liên quan đến sự phát triển của một RAT khác được gọi là S500 RAT, cũng điều hành một kênh Telegram cung cấp các dịch vụ khác nhau như phân phối RAT bị bẻ khóa, cơ sở dữ liệu bị rò rỉ, hoạt động thẻ và bán bot Facebook và X (trước đây là Twitter).
Các bot truyền thông xã hội sau đó được sử dụng bởi các tội phạm mạng khác để quảng bá các dịch vụ bất hợp pháp khác nhau bằng cách tự động tham gia và nhận xét về nội dung người dùng.
Các phát hiện trong tự nhiên của Silver RAT v1.0 lần đầu tiên được quan sát vào tháng 11/2023, mặc dù kế hoạch phát hành trojan của tác nhân đe dọa lần đầu tiên được công bố chính thức một năm trước đó. Nó đã bị bẻ khóa và rò rỉ trên Telegram vào khoảng tháng 10/2023.
Phần mềm độc hại dựa trên C # tự hào về một loạt các tính năng để kết nối với máy chủ ra lệnh và kiểm soát (C2), đăng nhập tổ hợp phím, phá hủy các điểm khôi phục hệ thống và thậm chí mã hóa dữ liệu bằng ransomware. Cũng có những dấu hiệu cho thấy một phiên bản Android đang được thực hiện.
"Trong khi tạo ra một tải trọng bằng cách sử dụng trình tạo của Silver RAT, các tác nhân đe dọa có thể chọn các tùy chọn khác nhau với kích thước tải trọng lên tới tối đa 50kb", công ty lưu ý. "Sau khi kết nối, nạn nhân sẽ xuất hiện trên bảng điều khiển Silver RAT do kẻ tấn công điều khiển, hiển thị nhật ký từ nạn nhân dựa trên các chức năng được chọn."
Một tính năng trốn tránh thú vị được tích hợp trong Silver RAT là khả năng trì hoãn việc thực thi tải trọng vào một thời điểm cụ thể cũng như bí mật khởi chạy ứng dụng và kiểm soát máy chủ bị xâm nhập.
Phân tích sâu hơn về dấu chân trực tuyến của tác giả phần mềm độc hại cho thấy một trong những thành viên của nhóm có khả năng ở giữa độ tuổi 20 và có trụ sở tại Damascus.
"Nhà phát triển [...] dường như ủng hộ Palestine dựa trên các bài đăng trên Telegram của họ và các thành viên liên quan đến nhóm này đang hoạt động trên nhiều lĩnh vực khác nhau, bao gồm phương tiện truyền thông xã hội, nền tảng phát triển, diễn đàn ngầm và trang web Clearnet, cho thấy sự tham gia của họ trong việc phân phối các phần mềm độc hại khác nhau", Cyfirma nói.