Silver RAT vinculado a ator de ameaça síria
Um grupo de hackers conhecido como Anonymous Arabic lançou recentemente um novo trojan de acesso remoto (RAT) chamado Silver RAT. Este malware foi projetado para contornar software de segurança e iniciar aplicativos ocultos discretamente. A Cyfirma, uma empresa de segurança cibernética, destacou a presença ativa e sofisticada dos desenvolvedores em vários fóruns de hackers e plataformas de mídia social em um relatório recente.
Esses atores de ameaças, que se acredita serem de origem síria e associados à criação de outro RAT denominado S500 RAT, gerenciam um canal Telegram que oferece diversos serviços. Esses serviços incluem distribuição de RATs crackeados, compartilhamento de bancos de dados vazados, envolvimento em atividades de carding e venda de bots do Facebook e X (antigo Twitter). Os bots de mídia social vendidos são posteriormente empregados por outros cibercriminosos para interagir automaticamente e comentar o conteúdo do usuário para promover serviços ilícitos.
Silver RAT ainda é relativamente novo
Silver RAT v1.0 foi detectado pela primeira vez em novembro de 2023, embora os hackers tenham anunciado oficialmente seus planos de lançar o trojan um ano antes. O trojan foi quebrado e vazou no Telegram por volta de outubro de 2023.
Esse malware baseado em C# vem com vários recursos, como conexão a um servidor de comando e controle (C2), registro de pressionamentos de teclas, exclusão de pontos de restauração do sistema e criptografia de dados usando ransomware. Também há indícios de que uma versão Android está atualmente em desenvolvimento.
Ao criar uma carga útil com o construtor Silver RAT, os agentes de ameaças podem escolher entre várias opções com um tamanho de carga útil de até 50kb. Uma vez conectado, os dados da vítima são exibidos no painel Silver RAT controlado pelo invasor, exibindo logs com base nas funcionalidades selecionadas.
Uma tática de evasão interessante incorporada ao Silver RAT é sua capacidade de adiar a execução da carga útil por um tempo específico, juntamente com a capacidade de iniciar aplicativos discretamente e assumir o controle do host comprometido.
Um exame mais aprofundado das atividades online dos autores do malware sugere que um dos membros do grupo provavelmente tem cerca de 20 anos e mora em Damasco.