MysterySnail RAT

Por CagedTech em Remote Administration Tools

Traduzir Para:

O MysterySnail RAT é uma ameaça que, de acordo com as descobertas feitas pelos pesquisadores de infosec, está ligada ao grupo chinês APT (Advanced Persistent Threat) IronHusky. A ameaça é descrita como um Trojan do tipo shell remoto e é excepcionalmente grande, com 8,29 MB. Existem várias razões para esse tamanho anormal. Primeiro, o MysterySnail RAT é compilado estaticamente com a Biblioteca OpenSSL e possui código não utilizado dessa biblioteca. Em segundo lugar, ele contém duas grandes funções que não têm nenhum propósito prático além de desperdiçar ciclos de clock do processador.

A razão provável para a inclusão de grandes blocos de código supérfluo é aumentar os recursos de antidetecção e antiemulação da ameaça. Essa conclusão também é apoiada pela inclusão de várias lógicas redundantes, bem como várias funções exportadas enquanto apenas uma executa as tarefas reais.

Detalhes sobre o MysterySnail RAT

Como um todo, o MysterySnail RAT não está entre as ameaças mais sofisticadas desse tipo.No entanto, ele compensa com uma lista expandida de funcionalidades (a ameaça pode reconhecer um total de 20 comandos diferentes), como detectar qualquer unidade de disco inserida ou ser capaz de agir como um proxy. Ao receber o comando apropriado d0 seu servidor de Comando e Controle (C&C, C2), a ameaça é capaz de manipular o sistema de arquivos do sistema comprometido criando, lendo, carregando ou excluindo os arquivos escolhidos. O MysterySnail RAT também pode iniciar ou encerrar processos. Além disso, pode abrir uma janela de Prompt de Comando, permitindo que os invasores executem comandos arbitrários.

Uma das primeiras ações realizadas pelo MysterySnail RAT é coletar dados sobre o sistema violado. O malware coleta detalhes, tais como o nome do computador, nome do produto Windows, endereço IP, nome de usuário e muito mais. Todas as informações coletadas são carregadas no servidor C2. Quanto ao endereço do servidor, as amostras de ameaças analisadas tinham dois URLs codificados, armazenados em texto simples, que agiam como iscas. O URL real é decodificado por um único byte xor que fornece o endereço 'http[.]Ddspadus[.]com'.

Buscar

Mudar de região

MysterySnail RAT

Detalhes sobre o MysterySnail RAT

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela