SeroXen RAT

A comunidade cibercriminosa tem adotado cada vez mais um Trojan de Acesso Remoto (RAT) furtivo chamado 'SeroXen' devido aos seus poderosos recursos e capacidade de evitar a detecção.

De acordo com relatórios da AT&T, o malware está sendo enganosamente comercializado como uma ferramenta legítima de acesso remoto para Windows 11 e 10. Ele é oferecido por uma taxa de assinatura mensal de US$15 ou um pagamento único de licença "vitalícia" de US$60. Apesar de ser apresentado como uma ferramenta legítima, o SeroXen está sendo promovido como um Trojan de acesso remoto em fóruns de hackers. As identidades dos indivíduos por trás dessas promoções, sejam desenvolvedores reais ou revendedores sem escrúpulos, permanecem incertas.

O SeroXen RAT está Ganhando Força entre os Cibercriminosos

O preço acessível do programa de acesso remoto SeroXen tornou-o acessível a uma ampla gama de agentes de ameaças. A AT&T identificou inúmeras amostras do SeroXen desde seu surgimento em setembro de 2022, e a atividade em torno dele se intensificou recentemente.

Embora os alvos principais do SeroXen tenham sido indivíduos dentro da comunidade de jogos, há uma preocupação crescente de que, à medida que a popularidade da ferramenta se expande, ela também possa ser empregada para atingir entidades maiores, como empresas e organizações proeminentes.

A crescente popularidade do SeroXen entre os cibercriminosos pode ser atribuída às suas baixas taxas de detecção e seus potentes recursos. Seu disfarce enganoso como uma ferramenta legítima de acesso remoto o tornou uma escolha atraente para os agentes de ameaças. Para mitigar os riscos associados a este Trojan de acesso remoto, é imperativo que indivíduos e organizações permaneçam vigilantes e implementem medidas de segurança robustas.

O SeroXen RAT foi Desenvolvido através de Vários Projetos de Código Aberto

O SeroXen baseia-se em vários projetos de código aberto, incluindo o Quasar RAT. o rootkit r77 e a ferramenta de linha de comando NirCmd. O desenvolvedor do SeroXen utilizou de forma inteligente uma combinação desses recursos disponíveis gratuitamente para criar um RAT que é difícil de detectar por meio de análises estáticas e dinâmicas.

O Quasar RAT, que existe há quase uma década desde seu lançamento inicial em 2014, serve como base para o SeroXen RAT. Ele fornece uma ferramenta leve de administração remota com a versão mais recente, 1.41, incorporando recursos como proxy reverso, shell remoto, área de trabalho remota, comunicação TLS e um sistema de gerenciamento de arquivos. É acessível abertamente no GitHub.

Para expandir seus recursos, o SeroXen RAT emprega o rootkit r77 (Ring 3). Este rootkit de código aberto oferece funcionalidades como persistência sem arquivo, captura de processos filho, incorporação de malware, injeção de processo na memória e evasão da detecção antimalware. O SeroXen também integra o utilitário NirCmd. NirCmd é uma ferramenta freeware que facilita tarefas simples de gerenciamento para sistemas e periféricos Windows por meio da execução de linha de comando.

A Análise dos Ataques do SeroXen RAT

Vários vetores de ataque foram empregados para distribuir o SeroXen, incluindo e-mails de phishing e canais Discord utilizados por cibercriminosos. Esses atores distribuem arquivos ZIP contendo arquivos em lote fortemente ofuscados.

Após a extração, o arquivo em lote decodifica um texto codificado em base64 para extrair dois binários. Esses binários são então carregados na memória usando a reflexão .NET. A versão modificada do msconfig.exe, necessária para executar o malware, é o único arquivo que interage com o disco. Ele é armazenado temporariamente no diretório 'C:\Windows \System32V (observe o espaço extra), que é de curta duração e excluído após o processo de instalação do programa.

O arquivo em lote serve como um veículo para implantar a carga útil 'InstallStager.exe', uma variante do rootkit r77. Para manter a discrição e a persistência, o rootkit é ofuscado e armazenado no registro do Windows. Posteriormente, ele é ativado usando o PowerShell através do Agendador de Tarefas, injetando-se no processo "winlogon.exe".

Por meio dessa injeção, o rootkit r77 introduz o SeroXen RAT na memória do sistema, garantindo sua presença encoberta e permitindo o acesso remoto ao dispositivo comprometido. Assim que o malware de acesso remoto é lançado, ele estabelece comunicação com um servidor de Comando e Controle, aguardando comandos dos atacantes.

A análise revela que o SeroXen emprega o mesmo certificado TLS que o Quasar RAT e herda a maioria dos recursos do projeto original. Esses recursos abrangem suporte para fluxos de rede TCP, serialização de rede eficiente e compactação QuickLZ.

Pesquisadores de segurança cibernética alertam que a crescente popularidade do SeroXen pode levar a uma mudança potencial no foco de jogadores para organizações maiores. Para ajudar os defensores da rede a combater essa ameaça, as organizações devem tomar precauções contra a ameaça. Existem recursos valiosos para identificar e mitigar a presença do SeroXen nas redes, permitindo que os defensores aprimorem suas medidas de segurança cibernética e se protejam contra possíveis ataques.