Trojan Xeno RAT mã nguồn mở nổi lên như một mối đe dọa lớn trên GitHub

 


 Một trojan truy cập từ xa "được thiết kế phức tạp" (RAT) được gọi là Xeno RAT đã được cung cấp trên GitHub, làm cho nó có sẵn cho các tác nhân khác mà không phải trả thêm phí.

Được viết bằng C # và tương thích với các hệ điều hành Windows 10 và Windows 11, RAT nguồn mở đi kèm với một "bộ tính năng toàn diện để quản lý hệ thống từ xa", theo nhà phát triển của nó, người có tên moom825.

Nó bao gồm proxy ngược SOCKS5 và khả năng ghi lại âm thanh thời gian thực, cũng như kết hợp mô-đun điện toán mạng ảo ẩn (hVNC) dọc theo dòng DarkVNC, cho phép kẻ tấn công truy cập từ xa vào máy tính bị nhiễm.

"Xeno RAT được phát triển hoàn toàn từ đầu, đảm bảo cách tiếp cận độc đáo và phù hợp với các công cụ truy cập từ xa", nhà phát triển tuyên bố trong mô tả dự án. Một khía cạnh đáng chú ý khác là nó có một trình xây dựng cho phép tạo các biến thể riêng biệt của phần mềm độc hại.

Điều đáng chú ý là moom825 cũng là nhà phát triển của một RAT dựa trên C # khác có tên DiscordRAT 2.0, được phân phối bởi các tác nhân đe dọa trong một gói npm độc hại có tên node-hide-console-windows, theo tiết lộ của ReversingLabs vào tháng 10/2023.

Công ty an ninh mạng Cyfirma, trong một báo cáo được công bố vào tuần trước, cho biết họ đã quan sát thấy Xeno RAT được phổ biến thông qua mạng phân phối nội dung Discord (CDN), một lần nữa nhấn mạnh sự gia tăng của phần mềm độc hại giá cả phải chăng và có sẵn miễn phí đang thúc đẩy sự gia tăng các chiến dịch sử dụng RAT.

"Vector chính dưới dạng tệp lối tắt, được ngụy trang dưới dạng ảnh chụp màn hình WhatsApp, hoạt động như một trình tải xuống", công ty cho biết. "Trình tải xuống tải xuống kho lưu trữ ZIP từ Discord CDN, trích xuất và thực thi tải trọng giai đoạn tiếp theo."

Trình tự nhiều giai đoạn tận dụng một kỹ thuật gọi là DLL side-loading để khởi chạy DLL độc hại, đồng thời thực hiện các bước để thiết lập sự bền bỉ và tránh phân tích và phát hiện.

Sự phát triển này diễn ra khi Trung tâm Tình báo An ninh AhnLab (ASEC) tiết lộ việc sử dụng biến thể RAT Gh0st được gọi là Nood RAT được sử dụng trong các cuộc tấn công nhắm vào các hệ thống Linux, cho phép đối thủ thu thập thông tin nhạy cảm.

"Nood RAT là một phần mềm độc hại cửa hậu có thể nhận lệnh từ máy chủ C&C để thực hiện các hoạt động độc hại như tải xuống các tệp độc hại, đánh cắp tệp nội bộ của hệ thống và thực thi lệnh", ASEC cho biết.

"Mặc dù đơn giản về hình thức, nó được trang bị tính năng mã hóa để tránh phát hiện gói tin mạng và có thể nhận lệnh từ các tác nhân đe dọa để thực hiện nhiều hoạt động độc hại."

Mới hơn Cũ hơn