Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware RTX RAT

RTX RAT

Până în Mezo în Programe malware, Instrumente de administrare la distanță
Tradu in:

Un incident de securitate care a implicat CPUID a expus utilizatorii la software rău intenționat prin intermediul site-ului său oficial, cpuid.com. Pentru o perioadă mai mică de 24 de ore, actorii amenințători au manipulat cu succes linkurile de descărcare pentru a distribui versiuni infectate ale unor instrumente de monitorizare hardware utilizate pe scară largă.

Compromisul a avut loc între 9 aprilie, ora 15:00 UTC și 10 aprilie, ora 10:00 UTC, perioadă în care linkurile legitime ale instalatorului au fost înlocuite intermitent cu redirecționări rău intenționate. Important este că CPUID a confirmat că fișierele binare originale semnate au rămas intacte, deoarece încălcarea a provenit dintr-o caracteristică secundară, în esență o API laterală, care a determinat site-ul web să afișeze aleatoriu linkuri dăunătoare, în loc să modifice software-ul de bază în sine.

Infrastructură rău intenționată: Domenii necinstite în spatele atacului

Investigațiile cercetătorilor în domeniul securității cibernetice au identificat mai multe domenii utilizate pentru a găzdui și livra sarcinile utile troiene. Aceste site-uri web necinstite au jucat un rol central în redirecționarea utilizatorilor neavizați către descărcări compromise:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Aceste domenii au făcut parte dintr-o infrastructură mai amplă, concepută pentru a sprijini distribuția de programe malware și operațiunile de comandă și control.

Mecanism de livrare ascunsă: Abuz de încărcare laterală DLL

Atacatorii au folosit o tehnică de evitare a erorilor binecunoscută, numită încărcare laterală DLL. Pachetele rău intenționate au fost distribuite atât ca arhive ZIP, cât și ca programe de instalare independente, fiecare conținând două componente: un executabil legitim, semnat și o bibliotecă de legături dinamice necinstită numită „CRYPTBASE.dll”.

Prin exploatarea încrederii acordate fișierelor binare semnate, DLL-ul malițios a fost încărcat în timpul execuției, permițând compromiterea sub acoperire. Înainte de a iniția acțiuni ulterioare, malware-ul a efectuat verificări anti-sandbox pentru a evita detectarea în mediile de analiză. După ce aceste verificări au fost trecute, a contactat un server extern pentru a prelua sarcini suplimentare.

Implementarea STX RAT: Un instrument versatil post-exploatare

Obiectivul final al campaniei a fost implementarea STX RAT, un troian puternic de acces la distanță, echipat cu capacități ascunse de calcul în rețea virtuală (HVNC) și funcționalități extinse de furt de date.

Acest malware permite atacatorilor să mențină controlul persistent asupra sistemelor infectate și să execute o gamă largă de activități post-exploatare, inclusiv:

  • Executarea în memorie a fișierelor EXE, DLL, scripturilor PowerShell și a codului shell
  • Proxy invers și tunelare de rețea
  • Interacțiune și supraveghere la distanță pe desktop

Astfel de capacități fac ca STX RAT să fie deosebit de periculos atât în mediile individuale, cât și în cele ale companiilor.

Suprapunere de campanie: Legături cu atacuri FileZilla anterioare

Analiza a relevat că infrastructura de comandă și control (C2) utilizată în acest incident fusese asociată anterior cu o campanie separată care implica instalatori FileZilla cu troieni. Reutilizarea acelorași configurații de server și domenii de comunicare indică puternic o suprapunere operațională între cele două campanii.

Această repetare a tacticilor, tehnicilor și infrastructurii a oferit indicatori valoroși pentru detectare și atribuire.

Operațiune pe termen lung: o cronologie a campaniei de 10 luni

Investigațiile ulterioare sugerează că breșa CPUID face parte dintr-o campanie mai amplă care a început în iulie 2025. Cel mai vechi exemplu de malware cunoscut, identificat ca „superbad.exe”, a fost observat comunicând cu un server de comandă și control la adresa 95.216.51.236.

Experții în securitate evaluează că actorul amenințător este probabil vorbitor de limbă rusă și ar putea fi motivat financiar sau ar putea funcționa ca un broker de acces inițial, o entitate specializată în obținerea de puncte de sprijin în sisteme și vânzarea acestui acces către alți infractori cibernetici.

Evaluarea impactului: acoperire globală cu victime diverse

Atacul a afectat peste 150 de victime confirmate, predominant utilizatori individuali. Cu toate acestea, organizații din diverse industrii au fost, de asemenea, compromise, inclusiv în sectoarele comerțului cu amănuntul, producției, consultanței, telecomunicațiilor și agriculturii.

Din punct de vedere geografic, majoritatea infecțiilor au fost identificate în Brazilia, Rusia și China, ceea ce indică o strategie de direcționare largă și oportunistă.

Deficiențe operaționale: erori care au dus la detectare

În ciuda amplorii campaniei, mai multe defecțiuni ale securității operaționale au subminat semnificativ eficacitatea atacatorilor. Reutilizarea unor lanțuri de infecție identice, a unor sarcini utile STX RAT și a unor domenii de comandă și control din campaniile anterioare a făcut ca activitatea să fie mai ușor de urmărit și corelat.

Aceste deficiențe sugerează o sofisticare relativ scăzută în practicile de dezvoltare și implementare a programelor malware. Drept urmare, apărătorii au putut detecta atacul de tip „watering hole” rapid după inițierea acestuia, limitând impactul său general și fereastra de expunere.


Trending

Înșelătorie prin e-mail prin verificare de...

phishing, Spam
Precauția în gestionarea e-mailurilor neașteptate este esențială pentru menținerea securității online. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în comunicări legitime pentru a exploata încrederea și urgența. Așa-numita escrocherie prin e-mail de tipul „Verificare de securitate necesară” este un exemplu excelent al acestei tactici. Aceste e-mailuri nu sunt asociate...

Cele mai văzute

Se încarcă...