SeroXen RAT
La comunità dei criminali informatici ha adottato sempre di più un Trojan ad accesso remoto (RAT) furtivo denominato "SeroXen" grazie alle sue potenti capacità e alla capacità di eludere il rilevamento.
Secondo i rapporti di AT&T, il malware viene ingannevolmente commercializzato come uno strumento di accesso remoto legittimo per Windows 11 e 10. Viene offerto con un canone di abbonamento mensile di $ 15 o un pagamento di una licenza "a vita" di $ 60. Nonostante sia presentato come uno strumento legittimo, SeroXen viene effettivamente promosso come trojan di accesso remoto sui forum di hacking. Le identità delle persone dietro queste promozioni, che si tratti di veri sviluppatori o rivenditori senza scrupoli, rimangono incerte.
Sommario
Il SeroXen RAT sta guadagnando terreno tra i criminali informatici
Il prezzo accessibile del programma di accesso remoto SeroXen lo ha reso accessibile a un'ampia gamma di attori delle minacce. AT&T ha identificato numerosi campioni di SeroXen sin dalla sua comparsa nel settembre 2022 e l'attività che lo circonda si è recentemente intensificata.
Mentre gli obiettivi primari di SeroXen sono stati gli individui all'interno della comunità di gioco, c'è una crescente preoccupazione che con l'espansione della popolarità dello strumento, possa anche essere impiegato per prendere di mira entità più grandi, come aziende e organizzazioni di spicco.
La crescente popolarità di SeroXen tra i criminali informatici può essere attribuita ai suoi bassi tassi di rilevamento e alle sue potenti capacità. La sua veste ingannevole di legittimo strumento di accesso remoto lo ha reso una scelta interessante per gli attori delle minacce. Per mitigare i rischi associati a questo Trojan ad accesso remoto, è imperativo che individui e organizzazioni rimangano vigili e implementino solide misure di sicurezza.
SeroXen RAT è sviluppato da vari progetti open source
SeroXen si basa su diversi progetti open source, tra cui Quasar RAT , il rootkit r77 e lo strumento a riga di comando NirCmd. Lo sviluppatore di SeroXen ha abilmente utilizzato una combinazione di queste risorse disponibili gratuitamente per creare un RAT difficile da rilevare attraverso l'analisi statica e dinamica.
Il Quasar RAT, che esiste da quasi un decennio dal suo rilascio iniziale nel 2014, funge da base per il SeroXen RAT. Fornisce uno strumento di amministrazione remota leggero con l'ultima versione, 1.41, che incorpora funzionalità come proxy inverso, shell remota, desktop remoto, comunicazione TLS e un sistema di gestione dei file. È apertamente accessibile su GitHub.
Per espandere le sue capacità, SeroXen RAT impiega il rootkit r77 (Ring 3). Questo rootkit open source offre funzionalità come la persistenza senza file, l'aggancio di processi figlio, l'incorporamento di malware, l'iniezione di processi in memoria e l'evasione del rilevamento anti-malware. SeroXen integra anche l'utility NirCmd. NirCmd è uno strumento freeware che facilita semplici attività di gestione per sistemi e periferiche Windows tramite l'esecuzione da riga di comando.
Analisi degli attacchi di SeroXen RAT
Vari vettori di attacco sono stati impiegati per distribuire SeroXen, comprese le e-mail di phishing e i canali Discord utilizzati dai criminali informatici. Questi attori distribuiscono archivi ZIP contenenti file batch fortemente offuscati.
Dopo l'estrazione, il file batch decodifica un testo con codifica base64 per estrarre due file binari. Questi file binari vengono quindi caricati in memoria usando la reflection .NET. La versione modificata di msconfig.exe, necessaria per eseguire il malware, è l'unico file che interagisce con il disco. È temporaneamente memorizzato nella directory 'C:\Windows \System32V (notare lo spazio extra), che è di breve durata ed eliminato dopo il processo di installazione del programma.
Il file batch funge da veicolo per distribuire il payload "InstallStager.exe", una variante del rootkit r77. Per mantenere l'invisibilità e la persistenza, il rootkit viene offuscato e memorizzato nel registro di Windows. Successivamente, viene attivato utilizzando PowerShell tramite l'Utilità di pianificazione, iniettandosi nel processo "winlogon.exe".
Attraverso questa iniezione, il rootkit r77 introduce SeroXen RAT nella memoria del sistema, assicurandone la presenza nascosta e consentendo l'accesso remoto al dispositivo compromesso. Una volta lanciato, il malware di accesso remoto stabilisce una comunicazione con un server di comando e controllo, in attesa dei comandi degli aggressori.
L'analisi rivela che SeroXen utilizza lo stesso certificato TLS del Quasar RAT ed eredita la maggior parte delle funzionalità dal progetto originale. Queste funzionalità comprendono il supporto per i flussi di rete TCP, l'efficiente serializzazione della rete e la compressione QuickLZ.
I ricercatori sulla sicurezza informatica avvertono che la crescente popolarità di SeroXen potrebbe portare a un potenziale spostamento dell'attenzione dal prendere di mira i giocatori a organizzazioni più grandi. Per aiutare i difensori della rete a combattere questa minaccia, le organizzazioni dovrebbero prendere precauzioni contro la minaccia. Esistono risorse preziose per identificare e mitigare la presenza di SeroXen all'interno delle reti, consentendo ai difensori di migliorare le proprie misure di sicurezza informatica e proteggersi da potenziali attacchi.
