Новый скрытный троян SeroXen RAT обходит антивирусы и даёт хакерам полный доступ к целевым компьютерам

Специалисты AT&T обнаружили новый троян удалённого доступа под названием SeroXen RAT, который в последнее время стал крайне популярным среди киберпреступников за счёт своей высокой скрытности и мощных возможностей.

На легитимных площадках вредонос продаётся как абсолютно законная программа для удалённого управления компьютерами с Windows 10 и 11 на борту. Цена смешная — 15 долларов в месяц или 60 долларов за «пожизненную» лицензию.

Однако платформа киберразведки Flare Systems обнаружила, что на хакерских форумах SeroXen рекламируется как троян удаленного доступа. И абсолютно неясно, являются ли те лица, кто продвигает троян на форумах, его разработчиками или просто мошенническими «перекупами».

Низкая стоимость трояна делает его очень доступным для злоумышленников. AT&T отмечает сотни образцов с момента его создания в сентябре 2022 года, причем активность все ещё растёт.

Большинство жертв SeroXen — простые геймеры, но по мере роста популярности инструмента целевая аудитория может расшириться и включать крупные компании и организации.

SeroXen основан на различных открытых проектах, включая Quasar RAT, r77 rootkit и NirCmd. «Разработчик SeroXen выявил сильное сочетание бесплатных ресурсов для создания трудно обнаруживаемого при статическом и динамическом анализе трояна. Использование открытого трояна Quasar, который появился почти десять лет назад, даёт прочную основу, а сочетание NirCMD и r77-rootkit — логичное дополнения к смеси, так как они делают инструмент гораздо более скрытным», — комментирует AT&T в своём отчёте .

Quasar RAT — это инструмент для удалённого администрирования, впервые выпущенный в 2014 году. Его последняя версия, 1.41, имеет функции обратного прокси, удалённой оболочки, удалённого рабочего стола, TLS-связи и системы управления файлами. Инструмент находится в свободном доступе через GitHub.

r77 (Ring 3) rootkit — это открытый руткит, который предлагает безфайловое постоянство в целевой системе, перехват дочерних процессов, внедрение вредоносного кода, инъекцию процессов в памяти и обход антивирусов.

NirCmd — это бесплатная утилита, которая выполняет простые задачи по управлению системой Windows и периферийными устройствами из командной строки.

AT&T зафиксировала атаки с использованием SeroXen через фишинговые электронные письма или каналы Discord, где киберпреступники распространяют ZIP-архивы, содержащие сильно обфусцированные пакетные файлы. Из них извлекается пара двоичных файлов в кодировке base64 и загружается в память с помощью .NET Reflection.

Единственный файл, который затрагивает диск устройства — это модифицированная версия msconfig.exe, которая необходима для выполнения вредоносной программы и временно хранится в каталоге «C:\Windows \System32» Обратите внимание на дополнительный пробел после «Windows», который удаляется сразу после установки программы.

В конечном итоге, на целевом устройстве развертывается полезная нагрузка под названием «InstallStager.exe», один из вариантов r77 rootkit. Он хранится в обфусцированной форме в реестре Windows и позже активируется с помощью PowerShell через «Планировщик заданий», внедряясь в процесс «winlogon.exe».

Руткит интегрирует троян SeroXen в память системы, обеспечивая его незаметность, но предоставляя желаемый удаленный доступ к устройству. После запуска троян устанавливает связь с C2-сервером и ждёт дальнейших команд от злоумышленников.

Аналитики AT&T таже обнаружили, что SeroXen использует тот же TLS-сертификат, что и QuasarRAT, и имеет большинство возможностей оригинального проекта, включая поддержку TCP-потока, эффективную сериализацию сети и сжатие QuickLZ.

Исследователи опасается, что растущая популярность SeroXen привлечёт хакеров, заинтересованных в атаках на крупные организации, а не на игроков в компьютерные игры, поэтому компания выпустила индикаторы компрометации (IoС), чтобы специалисты по безопасности успели подготовить свои предприятия.