Sølv RAT knyttet til syrisk trusselskuespiller

En hackergruppe kendt som Anonymous Arabic har for nylig sluppet en ny remote access trojan (RAT) løs ved navn Silver RAT. Denne malware er designet til at omgå sikkerhedssoftware og diskret starte skjulte applikationer. Cyfirma, et cybersikkerhedsfirma, fremhævede udviklernes aktive og sofistikerede tilstedeværelse på flere hackerfora og sociale medieplatforme i en nylig rapport.

Disse trusselsaktører, der menes at være af syrisk oprindelse og forbundet med oprettelsen af en anden RAT ved navn S500 RAT, administrerer en Telegram-kanal, der tilbyder forskellige tjenester. Disse tjenester omfatter distribution af crackede RAT'er, deling af lækkede databaser, deltagelse i kortaktiviteter og salg af Facebook og X (tidligere Twitter) bots. De solgte sociale medier-bots bliver senere ansat af andre cyberkriminelle til automatisk at interagere med og kommentere brugerindhold for at fremme ulovlige tjenester.

Silver RAT er stadig relativt frisk

Silver RAT v1.0 blev først opdaget i naturen i november 2023, selvom hackerne officielt annoncerede deres planer om at frigive trojaneren et år tidligere. Trojaneren blev knækket og lækket på Telegram omkring oktober 2023.

Denne C#-baserede malware kommer med adskillige funktioner, såsom at oprette forbindelse til en kommando-og-kontrol-server (C2), logning af tastetryk, sletning af systemgendannelsespunkter og kryptering af data ved hjælp af ransomware. Der er også antydninger om, at en Android-version i øjeblikket er under udvikling.

Når du opretter en nyttelast med Silver RATs builder, kan trusselsaktører vælge mellem forskellige muligheder med en nyttelaststørrelse på op til 50 kb. Når den er tilsluttet, vises ofrets data på det angriberkontrollerede Silver RAT-panel, der viser logfiler baseret på de valgte funktionaliteter.

En interessant unddragelsestaktik, der er indarbejdet i Silver RAT, er dens evne til at udskyde udførelse af nyttelast i et bestemt tidsrum, sammen med evnen til diskret at starte apps og tage kontrol over den kompromitterede vært.

Yderligere undersøgelse af malware-forfatternes onlineaktiviteter tyder på, at et af gruppemedlemmerne sandsynligvis er i midten af 20'erne og har base i Damaskus.