SeroXen RAT - une nouvelle menace sans fichier

Les analystes de la sécurité surveillent actuellement un nouveau cheval de Troie d'accès à distance sans fichier (RAT) appelé SeroXen, conçu pour déjouer de nombreux systèmes EDR. SeroXen est en fait une version modifiée d'un outil d'administration à distance légitime connu sous le nom de Quasar, qui est utilisé depuis plusieurs années mais qui a également été utilisé à mauvais escient par certains groupes APT dans le passé. Il circule depuis quelques mois et est disponible à l'achat sur diverses plateformes, y compris les médias sociaux et les forums de piratage, moyennant des frais mensuels de 30 $.

Les experts d'AT&T Alien Labs ont étudié et évalué avec diligence le SeroXen RAT, découvrant qu'il parvient actuellement à échapper à la détection par tous les logiciels antimalware sur Virus Total. Cela est principalement dû à sa capacité à rester indétectable lorsqu'il est analysé statiquement. Le RAT est dissimulé dans un fichier de commandes PowerShell obscurci, dont la taille varie généralement entre 12 et 14 mégaoctets. La taille importante des fichiers dissuade souvent certains programmes antivirus de procéder à une analyse approfondie, contournant ainsi les mécanismes de détection.

Bien que l'échantillon spécifique mentionné n'ait déclenché aucune détection sur Virus Total, certaines règles Sigma externalisées ont identifié ses activités comme suspectes. SeroXen pose un plus grand défi aux solutions antivirus car il s'agit d'un logiciel malveillant sans fichier qui fonctionne uniquement en mémoire, utilisant plusieurs routines de décryptage et de décompression. De plus, son rootkit charge une nouvelle copie de ntdll.dll, ce qui rend encore plus difficile pour les systèmes Endpoint Detection & Response (EDR), qui s'appuient sur l'accrochage à cette bibliothèque pour détecter les injections de processus, d'identifier la présence du RAT.

Méthodes et capacités de distribution de SeroXen

En règle générale, les attaquants distribuent le SeroXen RAT via des e-mails de phishing ou des canaux Discord. Le logiciel malveillant lance le téléchargement d'un fichier ZIP apparemment inoffensif, ainsi qu'un fichier batch caché qui s'exécute automatiquement. Après une série d'étapes intermédiaires, la charge utile finale se compose de deux tableaux .NET, dont l'un fonctionne comme un rootkit et possède diverses capacités, telles que la persistance sans fichier, l'injection de processus en mémoire, l'évasion EDR et l'accrochage de fonctions.

Étant donné que SeroXen est basé sur QuasarRAT, le serveur de commande et de contrôle (C&C) utilisé par les acteurs de la menace utilise le même nom commun dans leur certificat TLS. Les fonctionnalités offertes par le serveur C&C ressemblent étroitement à celles trouvées dans le référentiel Quasar Github, y compris la prise en charge des flux réseau TCP (à la fois IPv4 et IPv6), la sérialisation efficace du réseau, la compression utilisant QuickLZ et la communication sécurisée via le cryptage TLS, comme indiqué par les chercheurs. .

Par Zaib
June 1, 2023
Malware
Français
June 1, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.