Menu dostępności

Nowy DuplexSpy RAT zapewnia atakującym pełną kontrolę nad maszynami z systemem Windows

Nowy DuplexSpy RAT zapewnia atakującym pełną kontrolę nad maszynami z systemem Windows

Pojawił się nowy trojan zdalnego dostępu (ang. RAT), o nazwie DuplexSpy, stanowiący poważne zagrożenie dla systemów Windows na całym świecie. Został opracowany w języku C# przez użytkownika GitHub ISSAC/iss4cf0ng i wydany publicznie 15 kwietnia 2025 r., według twórcy „do celów edukacyjnych”. W rzeczywistości jest to wielofunkcyjny malware, oferujący atakującym całkowitą kontrolę nad zainfekowanymi maszynami.

Dzięki przyjaznemu dla użytkownika kreatorowi graficznego interfejsu i rozbudowanym opcjom dostosowywania DuplexSpy obniża barierę techniczną dla cyberprzestępców, umożliwiając tworzenie dostosowanych ataków nawet nowicjuszom.

Źródło: cyfirma.com

Jego wyrafinowana konstrukcja obejmuje mechanizmy trwałości, ukryte wykonywanie i zestaw narzędzi do kontroli stacji roboczych, co czyni go potężną bronią w rękach cyberprzestępców. Otwarty charakter narzędzia zwiększa ryzyko powszechnego niewłaściwego wykorzystania w różnych łańcuchach ataków, gdyż hakerzy mogą łatwo dostosowywać i zwiększać jego możliwości.

DuplexSpy RAT używa zaawansowanych technik do zapewnienia trwałości i unikania wykrycia, naśladując legalne procesy, takie jak „Windows Update”, kopiując się do folderu Startup i modyfikując rejestr systemu Windows w HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Z raportu organizacji Cyfirma wiemy, że wykorzystuje on wykonywanie bezplikowe poprzez ładowanie dll do pamięci oraz metody samozniszczenia, usuwając swoje ślady po wykonaniu, co oczywiście znacznie utrudnia inwestygację.

Arsenał złośliwego oprogramowania obejmuje keylogger, czyli przechwytywanie naciśnięć klawiszy i przechowywanie ich w pliku folderu Temp (keylogger.rtf) w celu eksfiltracji na zdalny serwer, ponadto monitorowanie ekranu w czasie rzeczywistym, kontrolę kamery internetowej i dźwięku oraz zdalny dostęp do powłoki – do interaktywnego wykonywania poleceń. Ponadto stosuje on taktyki antyanalizy, kończąc procesy Defendera i wyświetlając fałszywe komunikaty o błędach dotyczące uszkodzonego pliku user32.dll, by wprowadzić użytkownika w błąd.

Eskalacja uprawnień RAT za pomocą monitów UAC, wstrzykiwanie bibliotek DLL w celu wykonania ukrytego kodu oraz operacje kryptograficzne wykorzystujące AES i RSA do bezpiecznej komunikacji z serwerami C2 dodatkowo zwiększają jego zdolność do działania w sposób niezauważony.

Poza zdalną kontrolą DuplexSpy może zakłócać działanie systemów poprzez polecenia kontroli zasilania, takie jak wyłączanie lub uśpienie, manipulowanie funkcjami myszy, odtwarzanie dźwięków (co pomaga przy stosowaniu taktyk psychologicznych) i wymuszanie fałszywych ekranów blokady w celu wyłudzenia pieniędzy od ofiar. Wszystko to czyni go bardzo uniwersalnym narzędziem.

Możliwości rozpoznania sieci pozwalają atakującym na mapowanie aktywnych połączeń TCP, identyfikując otwarte usługi lub zasoby wewnętrzne, podczas gdy manipulacja rejestrem i kontrola procesów, taka jak zawieszanie lub zbijanie procesów, pomagają w zachowaniu ukrycia i trwałości.

Dynamiczna analiza ujawnia, że ​​złośliwe oprogramowanie nawiązuje połączenia TCP (często za pośrednictwem konfigurowalnych portów, np. 5000) w celu ciągłej komunikacji C2, a interfejsy czatu w czasie rzeczywistym zapewniają atakującym bezpośrednią kontrolę.

W szczegółowej analizie Cyfirma przygotowała również zestaw IOC, które powinno zostać zaimplementowane w narzędziach EDR/AV na wszystkich końcówkach Windows. Dodatkowo warto zainwestować czas w zwiększanie świadomości użytkowników na temat podejrzanych zachowań, takich jak nieoczekiwane monity UAC czy fałszywe alerty systemowe. Są to kluczowe kroki w łagodzeniu rozwijającego się zagrożenia stwarzanego przez DuplexSpy RAT.

Poniżej dwa podstawowe IOC:

IndicatorTypeRemarks
2c1abd6bc9facae420235e5776b3eeaa3fc79514cf033307f648313362b8b721Sha 256DuplexSpyCS.exe
ab036cc442800d2d71a3baa9f2d6b27e3813b9f740d7c3e7635b84e3e7a8d66aSha 256client.exe
Źródło: cyfirma.com

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...