Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Investigadores alertan peligrosidad Troyano Acceso Remoto DC RAT vendido por 5$ (licencia 2 meses)


Advierten sobre un troyano de acceso remoto llamado DCRat (también conocido como DarkCrystal RAT) que está disponible para la venta en foros rusos de ciberdelincuencia.



 



Investigadores de seguridad cibernética de BlackBerry advierten sobre un troyano de acceso remoto llamado DCRat (también conocido como DarkCrystal RAT) que está disponible para la venta en los foros rusos de ciberdelincuencia. La puerta trasera de DCRat es muy barata, parece ser el trabajo de un actor de amenazas solitario que se conecta en línea con los apodos de "boldenis44", "crystalcoder" y Кодер ("Coder"). Los precios de la puerta trasera comienzan en 500 RUB ($ 5) por una licencia de dos meses, 2200 RUB ($ 21) por un año y 4200 RUB ($ 40) por una suscripción de por vida.



“Vendido principalmente en foros clandestinos rusos, DCRat es uno de los RAT comerciales más baratos que hemos encontrado. El precio de esta puerta trasera comienza en 500 RUB (menos de 5 GBP/6 USD) por una suscripción de dos meses y, ocasionalmente, baja aún más durante las promociones especiales. No es de extrañar que sea tan popular entre los actores de amenazas profesionales y entre los guionistas”. podemos leer en el informe publicado por BlackBerry.

El autor implementó un malware efectivo y continúa manteniéndolo de manera eficiente. Los investigadores señalaron que el precio de este malware es una fracción del precio estándar como RAT en los foros clandestinos rusos.

DCRat apareció por primera vez en el panorama de amenazas en 2018, pero un año después fue rediseñado y relanzado.

DCRat está escrito en .NET y tiene una estructura modular, los afiliados pueden desarrollar sus propios complementos mediante el uso de un entorno de desarrollo integrado (IDE) dedicado llamado DCRat Studio.

La arquitectura modular del malware permite extender sus funcionalidades para múltiples propósitos maliciosos, incluyendo vigilancia, reconocimiento, robo de información, ataques DDoS y ejecución de código arbitraria.

El DCRat consta de tres componentes:

  •     Un ejecutable ladrón/cliente
  •     Una sola página PHP, que sirve como punto final/interfaz de comando y control (C2)
  •     Una herramienta de administrador


“Todas las operaciones de marketing y ventas de DCRat se realizan a través del popular foro de piratería ruso lolz[.]guru, que también maneja algunas de las consultas de preventa de DCRat. Los temas de soporte de DCRat están disponibles aquí para el público en general, mientras que el hilo de oferta principal de DCRat está restringido solo a usuarios registrados”. continúa el informe.

El malware está en desarrollo activo, el autor anuncia cualquier noticia y actualización a través de un canal de Telegram dedicado que tenía aproximadamente 3k suscriptores.
dcratDCRat Telegram anunciando descuentos y precios especiales (fuente BlackBerry)

Durante los últimos meses, los investigadores observaron a menudo que los clientes de DCRat se implementaban con el uso de balizas Cobalt Strike a través del Prometheus TDS (sistema de dirección de tráfico).

DCRat también implementa un interruptor de apagado, que dejaría inutilizables todas las instancias de la herramienta de administración de DCRat, independientemente de la validez de la licencia del suscriptor.

La herramienta del administrador permite a los suscriptores iniciar sesión en un servidor C2 activo, configurar (y generar) compilaciones del ejecutable del cliente DCRat, ejecutar comandos en sistemas infectados

Los expertos concluyeron que la RAT se mantiene diariamente, lo que significa que el autor está trabajando en este proyecto a tiempo completo.

“Ciertamente, hay opciones de programación en esta amenaza que apuntan a que se trata de un autor de malware novato que aún no ha descubierto una estructura de precios adecuada. Elegir programar la amenaza en JPHP y agregar un contador de infecciones extrañamente no funcional ciertamente apunta en esta dirección. Podría ser que esta amenaza provenga de un autor que intenta ganar notoriedad, haciendo lo mejor que puede con el conocimiento que tiene para hacer algo popular lo más rápido posible”. concluye el informe que también incluye Indicadores de Compromiso (IoC). “Si bien la aparente inexperiencia del autor puede hacer que esta herramienta maliciosa parezca menos atractiva, algunos podrían verla como una oportunidad. Los actores de amenazas más experimentados podrían ver esta inexperiencia como un punto de venta, ya que el autor parece estar dedicando mucho tiempo y esfuerzo para complacer a sus clientes”.


Fuentes:

https://securityaffairs.co/wordpress/131122/cyber-crime/dcrat-cheap-rat.html
https://blogs.blackberry.com/en/2022/05/dirty-deeds-done-dirt-cheap-russian-rat-offers-backdoor-bargains


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.