Silver RAT kopplad till syrisk hotskådespelare
En hackergrupp känd som Anonymous Arabic har nyligen släppt en ny fjärråtkomsttrojan (RAT) som heter Silver RAT. Denna skadliga programvara är utformad för att kringgå säkerhetsprogramvara och diskret initiera dolda applikationer. Cyfirma, ett cybersäkerhetsföretag, lyfte fram den aktiva och sofistikerade närvaron av utvecklarna på flera hackerforum och sociala medieplattformar i en färsk rapport.
Dessa hotaktörer, som tros vara av syriskt ursprung och förknippade med skapandet av en annan RAT vid namn S500 RAT, hanterar en Telegram-kanal som erbjuder olika tjänster. Dessa tjänster inkluderar distribution av knäckta RAT:er, delning av läckta databaser, engagerande i kardningsaktiviteter och försäljning av Facebook och X (tidigare Twitter) bots. De sålda sociala medier-botarna används senare av andra cyberkriminella för att automatiskt interagera med och kommentera användarinnehåll för att främja olagliga tjänster.
Silver RAT är fortfarande relativt fräsch
Silver RAT v1.0 upptäcktes först i naturen i november 2023, även om hackarna officiellt tillkännagav sina planer på att släppa trojanen ett år tidigare. Trojanen spräcktes och läckte ut på Telegram runt oktober 2023.
Denna C#-baserade skadliga programvara kommer med många funktioner, som att ansluta till en kommando-och-kontroll-server (C2), logga tangenttryckningar, ta bort systemåterställningspunkter och kryptera data med ransomware. Det finns också tips om att en Android-version för närvarande är under utveckling.
När man skapar en nyttolast med Silver RATs byggare kan hotaktörer välja mellan olika alternativ med en nyttolaststorlek på upp till 50kb. När den är ansluten visas offrets data på den angriparkontrollerade Silver RAT-panelen, och visar loggar baserade på de valda funktionerna.
En intressant undanflyktstaktik som ingår i Silver RAT är dess förmåga att skjuta upp körningen av nyttolasten för en viss tid, tillsammans med möjligheten att diskret starta appar och ta kontroll över den komprometterade värden.
Ytterligare granskning av onlineaktiviteterna för författarna av skadlig programvara tyder på att en av gruppmedlemmarna troligen är i mitten av 20-talet och är baserad i Damaskus.