SeroXen RAT: una nueva amenaza sin archivos

Los analistas de seguridad están monitoreando actualmente un troyano emergente de acceso remoto (RAT) sin archivos llamado SeroXen, diseñado para ser más astuto que numerosos sistemas EDR. SeroXen es en realidad una versión modificada de una herramienta legítima de administración remota conocida como Quasar, que se ha utilizado durante varios años, pero también ha sido mal utilizada por ciertos grupos de APT en el pasado. Ha estado circulando durante algunos meses y está disponible para su compra en varias plataformas, incluidas las redes sociales y los foros de piratería, por una tarifa mensual de $ 30.

Los expertos de AT&T Alien Labs han estado estudiando y evaluando diligentemente SeroXen RAT y han descubierto que actualmente logra evadir la detección de todo el software antimalware en Virus Total. Esto se debe principalmente a su capacidad para permanecer indetectable cuando se analiza estáticamente. La RAT está oculta dentro de un archivo por lotes ofuscado de PowerShell, que normalmente varía en tamaño entre 12 y 14 megabytes. El gran tamaño del archivo a menudo disuade a ciertos programas antivirus de realizar un análisis exhaustivo y, en consecuencia, eluden los mecanismos de detección.

Aunque la muestra específica mencionada no ha provocado ninguna detección en Virus Total, algunas reglas Sigma de colaboración colectiva han identificado sus actividades como sospechosas. SeroXen plantea un desafío mayor para las soluciones antivirus, ya que es un malware sin archivos que opera únicamente en la memoria, empleando múltiples rutinas de descifrado y descompresión. Además, su rootkit carga una copia nueva de ntdll.dll, lo que dificulta aún más que los sistemas de detección y respuesta de puntos finales (EDR), que dependen de conectarse a esta biblioteca para detectar inyecciones de procesos, identifiquen la presencia de la RAT.

Capacidades y métodos de distribución de SeroXen

Por lo general, los atacantes distribuyen SeroXen RAT a través de correos electrónicos de phishing o canales de Discord. El malware inicia la descarga de un archivo ZIP aparentemente inofensivo, junto con un archivo por lotes oculto que se ejecuta automáticamente. Después de una serie de pasos intermedios, la carga útil final consta de dos arreglos .NET, uno de los cuales funciona como rootkit y posee varias capacidades, como persistencia sin archivos, inyección de procesos en memoria, evasión de EDR y enganche de funciones.

Dado que SeroXen se basa en QuasarRAT, el servidor de comando y control (C&C) empleado por los actores de amenazas emplea el mismo nombre común en su certificado TLS. Las funcionalidades que ofrece el servidor C&C se asemejan mucho a las que se encuentran en el repositorio Quasar Github, incluida la compatibilidad con flujos de red TCP (tanto IPv4 como IPv6), serialización de red eficiente, compresión utilizando QuickLZ y comunicación segura a través del cifrado TLS, según lo declarado por los investigadores. .

En Zaib
June 1, 2023
Malware
Spanish
June 1, 2023
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.