SeroXen RAT
La comunitat cibercriminal ha adoptat cada cop més un troià d'accés remot (RAT) furtiu anomenat "SeroXen" a causa de les seves potents capacitats i la seva capacitat d'evadir la detecció.
Segons informes d'AT&T, el programari maliciós s'està comercialitzant de manera enganyosa com una eina legítima d'accés remot per a Windows 11 i 10. S'ofereix per una quota de subscripció mensual de 15 dòlars o un pagament únic de llicència "de tota la vida" de 60 dòlars. Tot i presentar-se com una eina legítima, SeroXen es promociona com a troià d'accés remot als fòrums de pirateria. Les identitats de les persones darrere d'aquestes promocions, ja siguin desenvolupadors reals o distribuïdors sense escrúpols, segueixen sent incertes.
Taula de continguts
El SeroXen RAT està guanyant força entre els cibercriminals
El preu assequible del programa d'accés remot SeroXen l'ha fet accessible a una àmplia gamma d'actors d'amenaça. AT&T ha identificat nombroses mostres de SeroXen des de la seva aparició el setembre de 2022, i l'activitat que l'envolta s'ha intensificat recentment.
Tot i que els objectius principals de SeroXen han estat individus dins de la comunitat de jocs, hi ha una preocupació creixent que a mesura que s'amplia la popularitat de l'eina, també es pot utilitzar per orientar-se a entitats més grans, com ara empreses i organitzacions destacades.
La creixent popularitat de SeroXen entre els ciberdelinqüents es pot atribuir a les seves baixes taxes de detecció i a les seves potents capacitats. La seva aparença enganyosa com a eina d'accés remot legítima l'ha convertit en una opció atractiva per als actors d'amenaça. Per mitigar els riscos associats amb aquest troià d'accés remot, és imprescindible que les persones i les organitzacions es mantinguin vigilants i implementin mesures de seguretat sòlides.
El SeroXen RAT es desenvolupa a partir de diversos projectes de codi obert
SeroXen es basa en diversos projectes de codi obert, com ara Quasar RAT , el rootkit r77 i l'eina de línia d'ordres NirCmd. El desenvolupador de SeroXen ha utilitzat intel·ligentment una combinació d'aquests recursos disponibles gratuïtament per crear una RAT que és difícil de detectar mitjançant anàlisis estàtiques i dinàmiques.
El Quasar RAT, que existeix durant gairebé una dècada des del seu llançament inicial el 2014, serveix de base per al SeroXen RAT. Proporciona una eina d'administració remota lleugera amb l'última versió, 1.41, que incorpora funcions com ara proxy invers, shell remot, escriptori remot, comunicació TLS i un sistema de gestió de fitxers. Es pot accedir obertament a GitHub.
Per ampliar les seves capacitats, el SeroXen RAT utilitza el rootkit r77 (Ring 3). Aquest rootkit de codi obert ofereix funcionalitats com ara persistència sense fitxers, enganxament de processos secundaris, incrustació de programari maliciós, injecció de processos a la memòria i evasió de la detecció anti-malware. SeroXen també integra la utilitat NirCmd. NirCmd és una eina de programari gratuït que facilita tasques de gestió senzilles per a sistemes i perifèrics Windows mitjançant l'execució de la línia d'ordres.
Anàlisi dels atacs de SeroXen RAT
S'han utilitzat diversos vectors d'atac per distribuir SeroXen, inclosos els correus electrònics de pesca i els canals de Discord utilitzats pels ciberdelinqüents. Aquests actors distribueixen arxius ZIP que contenen fitxers per lots molt ofuscats.
Després de l'extracció, el fitxer per lots descodifica un text codificat en base64 per extreure dos binaris. A continuació, aquests binaris es carreguen a la memòria mitjançant la reflexió .NET. La versió modificada de msconfig.exe, necessària per executar el programari maliciós, és l'únic fitxer que interacciona amb el disc. S'emmagatzema temporalment al directori 'C:\Windows\System32V (observeu l'espai addicional), que és de curta durada i s'elimina després del procés d'instal·lació del programa.
El fitxer per lots serveix com a vehicle per desplegar la càrrega útil "InstallStager.exe", una variant del rootkit r77. Per mantenir el sigil i la persistència, el rootkit està ofuscat i emmagatzemat al registre de Windows. Posteriorment, s'activa mitjançant PowerShell mitjançant el Programador de tasques, injectant-se en el procés "winlogon.exe".
Mitjançant aquesta injecció, el rootkit r77 introdueix el SeroXen RAT a la memòria del sistema, assegurant la seva presència encoberta i permetent l'accés remot al dispositiu compromès. Un cop llançat el programari maliciós d'accés remot, s'estableix la comunicació amb un servidor d'ordres i control, a l'espera de les ordres dels atacants.
L'anàlisi revela que SeroXen utilitza el mateix certificat TLS que Quasar RAT i hereta la majoria de les capacitats del projecte original. Aquestes capacitats inclouen suport per a fluxos de xarxa TCP, serialització eficient de xarxa i compressió QuickLZ.
Els investigadors de ciberseguretat adverteixen que la creixent popularitat de SeroXen podria provocar un canvi potencial d'enfocament d'orientar-se als jugadors a orientar-se a organitzacions més grans. Per ajudar els defensors de la xarxa a combatre aquesta amenaça, les organitzacions haurien de prendre precaucions contra l'amenaça. Hi ha recursos valuosos per identificar i mitigar la presència de SeroXen a les xarxes, cosa que permet als defensors millorar les seves mesures de ciberseguretat i protegir-se contra possibles atacs.
