Silver RAT powiązany z syryjskim podmiotem stwarzającym zagrożenie
Grupa hakerska znana jako Anonymous Arabic uwolniła niedawno nowego trojana zdalnego dostępu (RAT) o nazwie Silver RAT. Celem tego złośliwego oprogramowania jest omijanie oprogramowania zabezpieczającego i dyskretne inicjowanie ukrytych aplikacji. Cyfirma, firma zajmująca się bezpieczeństwem cybernetycznym, w niedawnym raporcie podkreśliła aktywną i wyrafinowaną obecność programistów na wielu forach hakerskich i platformach mediów społecznościowych.
Ci ugrupowania zagrażające, uważane za pochodzenia syryjskiego i powiązane z utworzeniem innego RAT o nazwie S500 RAT, zarządzają kanałem Telegramu oferującym różne usługi. Usługi te obejmują dystrybucję złamanych RAT-ów, udostępnianie baz danych, które wyciekły, angażowanie się w działania związane z kartami oraz sprzedaż botów Facebooka i X (dawniej Twittera). Sprzedane boty mediów społecznościowych są później wykorzystywane przez innych cyberprzestępców do automatycznej interakcji i komentowania treści użytkowników w celu promowania nielegalnych usług.
Silver RAT jest wciąż stosunkowo świeży
Silver RAT v1.0 został po raz pierwszy wykryty na wolności w listopadzie 2023 r., mimo że hakerzy oficjalnie ogłosili swoje plany wypuszczenia trojana rok wcześniej. Trojan został złamany i wyciekł do Telegramu około października 2023 r.
To złośliwe oprogramowanie oparte na języku C# oferuje wiele funkcji, takich jak łączenie się z serwerem dowodzenia i kontroli (C2), rejestrowanie naciśnięć klawiszy, usuwanie punktów przywracania systemu i szyfrowanie danych przy użyciu oprogramowania ransomware. Istnieją również wskazówki, że obecnie trwają prace nad wersją na Androida.
Tworząc ładunek za pomocą narzędzia Silver RAT, cyberprzestępcy mogą wybierać spośród różnych opcji o rozmiarze ładunku do 50 KB. Po nawiązaniu połączenia dane ofiary są wyświetlane na kontrolowanym przez atakującego panelu Silver RAT, prezentującym logi oparte na wybranych funkcjonalnościach.
Ciekawą taktyką unikania zastosowaną w Silver RAT jest jego zdolność do odroczenia wykonania ładunku na określony czas, wraz z możliwością dyskretnego uruchamiania aplikacji i przejęcia kontroli nad zaatakowanym hostem.
Dalsze badanie aktywności autorów szkodliwego oprogramowania w Internecie sugeruje, że jeden z członków grupy prawdopodobnie ma około 20 lat i mieszka w Damaszku.