Nowe trojany atakują w Europie

DarkCrystal

Z kolei analitycy z BlackBerry przeprowadzili dogłębną analizę DarkCrystal RAT i aktywności w dark webie jego twórcy.

Szkodliwe oprogramowanie jest aktywne co najmniej od 2019 r. i wydaje się dziełem jednego rosyjskojęzycznego programisty, który oferuje je za jedyne 6 USD na okres dwóch miesięcy lub 40 USD za dożywotnią licencję, co stanowi zaledwie ułamek ceny za podobne narzędzia.

„Ten przedział cenowy jest ciekawą cechą, ponieważ wydaje się, że autor nie jest szczególnie nastawiony na zysk. Możliwe, że po prostu zarzucają szeroką sieć, próbując zdobyć trochę pieniędzy od wielu złośliwych aktorów. Możliwe też, że mają alternatywne źródło finansowania, a może jest to projekt związany z pasją, a nie ich główne źródło dochodu” — mówi BlackBerry.

Nazywany również DCRat i sprzedawany głównie na rosyjskich forach podziemnych, DarkCrystal RAT ma modułową konstrukcję, dzięki czemu nadaje się do dynamicznego wykonywania kodu, kradzieży danych, inwigilacji, rozpoznania lub przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).

Po uruchomieniu na zaatakowanej maszynie złośliwe oprogramowanie zbiera obszerne informacje systemowe i wysyła je do swojego serwera dowodzenia i kontroli (C&C), w tym nazwy hosta i użytkownika, lokalizację, uprawnienia, zainstalowane narzędzia bezpieczeństwa, dane płyty głównej i systemu BIOS oraz wersję systemu Windows.

DarkCrystal RAT może robić zrzuty ekranu, rejestrować naciśnięcia klawiszy i kraść różne rodzaje danych z systemu, w tym zawartość schowka, pliki cookie/hasła/historię przeglądarki, dane kart kredytowych oraz konta Telegram, Discord, Steam, FileZilla.

Produkt zawiera trzy komponenty, a mianowicie plik wykonywalny stealer/klient, interfejs C&C oraz plik wykonywalny napisany w JPHP (implementacja PHP działająca na wirtualnej maszynie Java), który pełni funkcję narzędzia administratora.

Napisany w .NET, klient DarkCrystal RAT – który zawiera strukturę wtyczek, służy ona partnerom do tworzenia wtyczki do pobrania i używania przez subskrybentów – jest stale aktualizowany, podobnie jak narzędzie administratora i oficjalnie wydane wtyczki.

Zewnętrzni deweloperzy mają dostęp do dedykowanego IDE o nazwie DCRat Studio, które można wykorzystać do tworzenia wtyczek dla złośliwego oprogramowania, podczas gdy subskrybenci mają dostęp do listy obsługiwanych wtyczek.

Cały pakiet DarkCrystal RAT jest hostowany na crystalfiles[.]ru – został przeniesiony tutaj z dcrat[.]ru – prostej strony używanej wyłącznie do pobierania. Sprzedaż i działania marketingowe odbywają się na rosyjskim forum hakerskim, a wiadomości i aktualizacje są ogłaszane za pośrednictwem Telegramu.

Autor złośliwego oprogramowania publikuje posty na forum hakerskim pod pseudonimem Кодер (Coder), ale mógł wcześniej używać nazwy użytkownika „boldenis44”, ponieważ niektórzy użytkownicy nazywają go tą nazwą. Ta sama nazwa użytkownika jest używana na GitHubie, podczas gdy w Telegramie publikują jako „@boldenis”.

BlackBerry zauważa również, że autor złośliwego oprogramowania twierdzi na swoim profilu na forum, że jest Rosjaninem i pracuje sam.

Badacze zdołali znaleźć konta „Boldenis44” na innych forach dark web, a także profil „Darkcrystal Rat” (dcrat_1994) w rosyjskiej sieci społecznościowej VKontakte. O adresie URL crystalfiles[.]ru wspomniano również inne konto VKontakte, Rodion Balkanov (Родион Балканов), które nie jest już dostępne.

„Z pewnością istnieją opcje programistyczne w tym zagrożeniu, które wskazują na to, że jest to początkujący autor złośliwego oprogramowania, który nie opracował jeszcze odpowiedniej struktury cenowej. Wybór oprogramowania zagrożenia w JPHP i dodanie dziwnie niedziałającego licznika infekcji z pewnością wskazuje na ten kierunek. Możliwe, że to zagrożenie pochodzi od autora, który próbuje zdobyć rozgłos.” — zauważa BlackBerry.