SeroXen RAT - uma nova ameaça sem arquivo

Os analistas de segurança estão atualmente monitorando um trojan de acesso remoto sem arquivo (RAT) chamado SeroXen, projetado para enganar vários sistemas EDR. O SeroXen é na verdade uma versão modificada de uma ferramenta legítima de administração remota conhecida como Quasar, que tem sido utilizada por vários anos, mas também foi mal utilizada por certos grupos APT no passado. Ele está circulando há alguns meses e está disponível para compra em várias plataformas, incluindo mídias sociais e fóruns de hackers, por uma taxa mensal de US$ 30.

Os especialistas da AT&T Alien Labs estudaram e avaliaram diligentemente o SeroXen RAT, descobrindo que atualmente ele consegue escapar da detecção por todos os softwares antimalware no Virus Total. Isso se deve principalmente à sua capacidade de permanecer indetectável quando analisado estaticamente. O RAT está oculto em um arquivo de lote ofuscado do PowerShell, geralmente variando em tamanho de 12 a 14 megabytes. O tamanho grande do arquivo geralmente impede que certos programas antivírus realizem uma análise completa, consequentemente contornando os mecanismos de detecção.

Embora a amostra específica mencionada não tenha desencadeado nenhuma detecção no Virus Total, algumas Regras Sigma de crowdsourcing identificaram suas atividades como suspeitas. O SeroXen representa um desafio maior para as soluções antivírus, pois é um malware sem arquivo que opera apenas na memória, empregando várias rotinas de descriptografia e descompactação. Além disso, seu rootkit carrega uma nova cópia do ntdll.dll, tornando ainda mais difícil para os sistemas Endpoint Detection & Response (EDR), que dependem da conexão com essa biblioteca para detectar injeções de processo, identificar a presença do RAT.

Métodos e capacidades de distribuição do SeroXen

Normalmente, os invasores distribuem o SeroXen RAT por meio de e-mails de phishing ou canais do Discord. O malware inicia o download de um arquivo ZIP aparentemente inofensivo, juntamente com um arquivo de lote oculto que é executado automaticamente. Após uma série de etapas intermediárias, a carga útil final consiste em dois arrays .NET, um dos quais funciona como um rootkit e possui vários recursos, como persistência sem arquivo, injeção de processo na memória, evasão de EDR e captura de função.

Como o SeroXen é baseado no QuasarRAT, o servidor de comando e controle (C&C) empregado pelos agentes de ameaças emprega o mesmo nome comum em seu certificado TLS. As funcionalidades oferecidas pelo servidor C&C se assemelham muito às encontradas no repositório Quasar Github, incluindo suporte para fluxos de rede TCP (tanto IPv4 quanto IPv6), serialização de rede eficiente, compactação utilizando QuickLZ e comunicação segura por meio de criptografia TLS, conforme declarado pelos pesquisadores .