Sølv RAT knyttet til syrisk trusselskuespiller
En hackergruppe kjent som Anonymous Arabic har nylig sluppet løs en ny fjerntilgangstrojaner (RAT) kalt Silver RAT. Denne skadelige programvaren er utviklet for å omgå sikkerhetsprogramvare og diskret starte skjulte applikasjoner. Cyfirma, et cybersikkerhetsfirma, fremhevet den aktive og sofistikerte tilstedeværelsen av utviklerne på flere hackerfora og sosiale medieplattformer i en fersk rapport.
Disse trusselaktørene, som antas å være av syrisk opprinnelse og assosiert med opprettelsen av en annen RAT kalt S500 RAT, administrerer en Telegram-kanal som tilbyr forskjellige tjenester. Disse tjenestene inkluderer distribusjon av sprukne RAT-er, deling av lekkede databaser, engasjement i kardeaktiviteter og salg av Facebook- og X-roboter (tidligere Twitter). De solgte sosiale medier-botene blir senere ansatt av andre nettkriminelle for å automatisk samhandle med og kommentere brukerinnhold for å fremme ulovlige tjenester.
Silver RAT er fortsatt relativt fersk
Silver RAT v1.0 ble først oppdaget i naturen i november 2023, selv om hackerne offisielt annonserte planene sine om å slippe trojaneren et år tidligere. Trojaneren ble sprukket og lekket på Telegram rundt oktober 2023.
Denne C#-baserte skadevare kommer med en rekke funksjoner, som å koble til en kommando-og-kontroll-server (C2), logge tastetrykk, slette systemgjenopprettingspunkter og kryptere data ved hjelp av løsepengeprogramvare. Det er også hint om at en Android-versjon er under utvikling.
Når du oppretter en nyttelast med Silver RATs bygger, kan trusselaktører velge mellom ulike alternativer med en nyttelaststørrelse på opptil 50 kb. Når den er koblet til, vises offerets data på det angriperkontrollerte Silver RAT-panelet, og viser logger basert på de valgte funksjonalitetene.
En interessant unnvikelsestaktikk innlemmet i Silver RAT er dens evne til å utsette kjøring av nyttelast for en bestemt tid, sammen med muligheten til å diskret starte apper og ta kontroll over den kompromitterte verten.
Ytterligere undersøkelser av nettaktivitetene til skadevareforfatterne antyder at et av gruppemedlemmene sannsynligvis er i midten av 20-årene og har base i Damaskus.