Серебряная КРЫСА связана с сирийским злоумышленником
Хакерская группа, известная как Anonymous Arab, недавно выпустила новый троян удаленного доступа (RAT) под названием Silver RAT. Это вредоносное ПО предназначено для обхода защитного программного обеспечения и незаметного запуска скрытых приложений. Cyfirma, фирма по кибербезопасности, в своем недавнем отчете подчеркнула активное и продуманное присутствие разработчиков на многочисленных хакерских форумах и платформах социальных сетей.
Эти злоумышленники, предположительно сирийского происхождения и связанные с созданием еще одной RAT под названием S500 RAT, управляют каналом Telegram, предлагающим различные услуги. Эти услуги включают в себя распространение взломанных RAT, обмен утекшими базами данных, участие в карточной деятельности и продажу ботов Facebook и X (ранее Twitter). Проданные боты для социальных сетей позже используются другими киберпреступниками для автоматического взаимодействия и комментирования пользовательского контента с целью продвижения незаконных услуг.
Silver RAT все еще относительно свеж
Silver RAT v1.0 впервые был обнаружен в природе в ноябре 2023 года, хотя хакеры официально заявили о планах выпустить трояна годом ранее. Троян был взломан и просочился в Telegram примерно в октябре 2023 года.
Это вредоносное ПО на основе C# обладает множеством функций, таких как подключение к серверу управления и контроля (C2), регистрация нажатий клавиш, удаление точек восстановления системы и шифрование данных с помощью программы-вымогателя. Есть также намеки на то, что версия для Android в настоящее время находится в разработке.
При создании полезной нагрузки с помощью компоновщика Silver RAT злоумышленники могут выбирать из различных вариантов с размером полезной нагрузки до 50 КБ. После подключения данные жертвы отображаются на контролируемой злоумышленником панели Silver RAT, демонстрируя журналы на основе выбранных функций.
Интересная тактика уклонения, включенная в Silver RAT, — это ее способность откладывать выполнение полезной нагрузки на определенное время, а также возможность незаметно запускать приложения и брать под контроль скомпрометированный хост.
Дальнейшее изучение онлайн-деятельности авторов вредоносного ПО позволяет предположить, что одному из членов группы, вероятно, около 20 лет, и он проживает в Дамаске.