SeroXen RAT na prodaju

SeroXen je novi trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) koji se pojavio krajem 2022. godine i postaje sve popularniji u 2023. godini. Reklamira se kao legitiman alat koji omogućava neprimećen pristup korisničkim uređajima, a prodaje se za samo 30 dolara na period od mjesec dana ili 60 dolara za doživotni paket, čineći ga veoma dostupnim.

Porijeklo

Sve počinje sa Quasar RAT, legitimnim alatom za udaljenu administraciju otvorenog kôda. On se nudi se na github stranici za pružanje korisničke podrške ili praćenje zaposlenih. Istorijski je bio povezan sa zlonamjernom aktivnostima koje koriste APT grupe ili u državno sponzorisanim napadima.

Quasar je objavljen u julu 2014. godine, a trenutno je zadnji put ažuriran u martu 2023. godine. Kao softver otvorenog kôda sa stalnom podrškom od devet godina unazad, uopšte nije iznenađenje da se koristi samostalno ili u kombinaciji sa drugim zlonamjernim softverima od strane zlonamjernih napadača.

Najnovija zlonamjerna verzija uočena od sigurnosnih istraživača iz kompanije Alien Labs je nazvana SeroXen. SeroXen RAT se prvo pojavio na Twitter nalog u septembru 2022. godine, a nakon toga je objavljena YouTube recenzija. U decembru 2022. godine dolazi do registracije domena seroxen[.]com gdje počinje prodaja za 30 dolara na period od mjesec dana ili 60 dolara za doživotni paket. U tom trenutku servis VirusTotal nije mogao detektovati ovaj zlonamjerni softver.

Reklamiranje se nastavlja na platformama kao što su TikTok, Twitter, YouTube i na nekoliko foruma sa piratskim softverom, a dolazi i do promjene domene na seroxen[.]net koja se koristi samo za reklamne svrhe i nije namijenjena za komandno kontrolne komunikacije.

 

Funkcionalnost

Jedna od najvažnijih funkcionalnosti ovog zlonamjernog softvera je da se ne može otkriti i to se odnosi na statičku analizu pošto je RAT zapakovan u zamagljenu PowerShell komandnu datoteku. Veličina datoteke je između 12-14 MB i baš zbog ove veličine, određena antivirusna rješenja mogu preskočiti analizu ove datoteke i omogućiti izbjegavanje detekcije.

Pored toga, zlonamjerni softver je bez datoteke i izvršava se u memoriji nakon što prođe kroz nekoliko rutina dešifrovanja i dekompresije, pa ga je antivirusnim softverima teže otkriti. Uz to, njegov r77rootkit učitava svežu kopiju ntdll.dll datoteke, što otežava otkrivanje pomoću softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) kada se ubacuje u druge procese.

Kada je riječ o dinamičkoj analizi, postoji mogućnost da neke od izolovanih okruženja (eng. sandbox) nisu u mogućnosti da detektuju SeroXen RAT zbog njegove upotrebe nekoliko tehnika za izbjegavanje virtuelizacije, detekcije izolovanih okruženja i šifrovanja nizova naknadnih aktivnih dijelova virusa.

Tokom izvršavanja, SeroXen RAT pokazuje niske stope otkrivanja za svoje podređene procese i  datoteke. Kada se aktivni dio virusa isporuči žrtvi, često korištenjem phishing napada preko elektronske pošte ili Discord kanala, žrtva dobija ZIP datoteku koja sadrži bezopasnu datoteku. Nasuprot tome, jako zamagljena komandna datoteka ostaje skrivena i automatski se izvršava po pokretanju.

 

Infekcija

Kada se pokrene skrivena datoteka, dolazi do nekoliko rutina dešifrovanja i dekompresije, kao i upotrebe nekoliko tehnika za izbjegavanje virtuelizacije, detekcije izolovanih okruženja i šifrovanja nizova naknadnih aktivnih dijelova virusa.

Pored toga, rootkit učitava svežu kopiju ntdll.dll datoteke što omogućava da se bez datoteke izvršava u memoriji, kao i spajanje podređenih procesa i ubacivanje procesa u memoriju, između ostalih funkcija. Takođe ima mogućnost da ugradi dodatni zlonamjerni softver, kao što su NirCmd ili Quasar, koji se dešifruju i ubrizgavaju u druge procese.

Rootkit ima za cilj da obezbijedi prikriveno izvršavanje SeroXen RAT zlonamjernog softvera unutar sistema. Koristi ubrizgavanje procesa, izvršava komande primljene od drugih procesa i koristi različite tehnike da bi se izbjegao otkrivanje, kao što su AMSI zaobilaženje i DLL odvajanje.

Komunikacija između zlonamjernog softvera i servera za komandu i kontrolu (C&C) se odvija preko TLS enkripcije sa certifikatom koji nosi isto zajedničko ime kao Quasar RAT.

Funkcionalnosti komandnog servera su veoma slične onima koje se nalaze u Quasar GitHub repozitorijumu, uključujući podršku za TCP mrežne tokove, mrežnu serijalizaciju, QuickLZ kompresiju i bezbjednu komunikaciju putem TLS enkripcije.

 

Zaštita

Posmatrajući razvoj alata i usluga kao što je SeroXen RAT, korisnici mogu usvojiti slijedeće mjere zaštite:

 

  • Koristiti provjereno antivirusno rješenje i voditi računa da je uvijek ažurirano.
  • Aplikacije i operativni sistem na uređaju, kao i upravljački softver uređaja bi uvijek trebalo da su ažurirani.
  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
  • Za korisnike je važno održavanje najboljih praksi  za očuvanje bezbjednosti uz stalno praćenje novih informacija vezanim za ove vrste zlonamjernih softvera kako bi bili ispred prijetnji koje se razvijaju.

 

Zaključak

Autor zlonamjernog softvera SeroXen RAT iskoristio značajne besplatne resurse za razvoj RAT alat koji teško otkriva u statičkoj i dinamičkoj analizi. Korištenje razrađenog RAT alata otvorenog kôda kao što je Quasar, sa skoro decenijom razvoja, je definitivno povoljan temelj za RAT. Dok je NirCMD i r77rootkit kombinacija logičan dodatak ovoj mješavini, jer oni čine alat neuhvatljivim i težim za otkrivanje.

Ovaj zlonamjerni softver se za sada upotrebljava za napad na zajednicu igrača video igara, međutim zbog svojih mogućnosti i pristupačne cijene samo je pitanje vremena kada će se početi koristiti za napad na poslovne organizacije umjesto pojedinačnih korisnika.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.