Threat Database Malware SeroXen RAT

SeroXen RAT

La communauté cybercriminelle a de plus en plus adopté un cheval de Troie d'accès à distance (RAT) furtif nommé « SeroXen » en raison de ses puissantes capacités et de sa capacité à échapper à la détection.

Selon les rapports d'AT&T, le logiciel malveillant est commercialisé de manière trompeuse comme un outil d'accès à distance légitime pour Windows 11 et 10. Il est proposé moyennant un abonnement mensuel de 15 $ ou un paiement de licence « à vie » unique de 60 $. Bien qu'il soit présenté comme un outil légitime, SeroXen est en fait présenté comme un cheval de Troie d'accès à distance sur les forums de piratage. L'identité des personnes à l'origine de ces promotions, qu'il s'agisse de véritables développeurs ou de revendeurs peu scrupuleux, reste incertaine.

Le SeroXen RAT gagne du terrain parmi les cybercriminels

Le prix abordable du programme d'accès à distance SeroXen l'a rendu accessible à un large éventail d'acteurs malveillants. AT&T a identifié de nombreux échantillons de SeroXen depuis son émergence en septembre 2022, et l'activité qui l'entoure s'est récemment intensifiée.

Bien que les principales cibles de SeroXen aient été des individus au sein de la communauté des joueurs, on craint de plus en plus qu'à mesure que la popularité de l'outil augmente, il puisse également être utilisé pour cibler des entités plus importantes, telles que des entreprises et des organisations de premier plan.

La popularité croissante de SeroXen parmi les cybercriminels peut être attribuée à ses faibles taux de détection et à ses puissantes capacités. Son apparence trompeuse d'outil d'accès à distance légitime en a fait un choix attrayant pour les acteurs de la menace. Pour atténuer les risques associés à ce cheval de Troie d'accès à distance, il est impératif que les individus et les organisations restent vigilants et mettent en œuvre des mesures de sécurité robustes.

Le SeroXen RAT est développé à partir de divers projets open-source

SeroXen s'appuie sur plusieurs projets open source, notamment le Quasar RAT , le rootkit r77 et l'outil de ligne de commande NirCmd. Le développeur SeroXen a intelligemment utilisé une combinaison de ces ressources librement disponibles pour créer un RAT difficile à détecter par une analyse statique et dynamique.

Le Quasar RAT, qui existe depuis près d'une décennie depuis sa sortie initiale en 2014, sert de base au SeroXen RAT. Il fournit un outil d'administration à distance léger avec la dernière version, 1.41, incorporant des fonctionnalités telles que le proxy inverse, le shell distant, le bureau à distance, la communication TLS et un système de gestion de fichiers. Il est librement accessible sur GitHub.

Pour étendre ses capacités, le SeroXen RAT utilise le rootkit r77 (Ring 3). Ce rootkit open source offre des fonctionnalités telles que la persistance sans fichier, l'accrochage des processus enfants, l'intégration de logiciels malveillants, l'injection de processus en mémoire et l'évasion de la détection anti-malware. SeroXen intègre également l'utilitaire NirCmd. NirCmd est un outil gratuit qui facilite les tâches de gestion simples pour les systèmes et périphériques Windows grâce à l'exécution en ligne de commande.

Analyse des attaques de SeroXen RAT

Divers vecteurs d'attaque ont été utilisés pour distribuer SeroXen, y compris les e-mails de phishing et les canaux Discord utilisés par les cybercriminels. Ces acteurs distribuent des archives ZIP contenant des fichiers batch fortement obscurcis.

Lors de l'extraction, le fichier batch décode un texte encodé en base64 pour extraire deux binaires. Ces fichiers binaires sont ensuite chargés en mémoire à l'aide de la réflexion .NET. La version modifiée de msconfig.exe, nécessaire à l'exécution du malware, est le seul fichier qui interagit avec le disque. Il est temporairement stocké dans le répertoire 'C:\Windows \System32V (notez l'espace supplémentaire), qui est de courte durée et supprimé après le processus d'installation du programme.

Le fichier de commandes sert de véhicule pour déployer la charge utile "InstallStager.exe", une variante du rootkit r77. Pour maintenir la furtivité et la persistance, le rootkit est obscurci et stocké dans le registre Windows. Par la suite, il est activé à l'aide de PowerShell via le planificateur de tâches, en s'injectant dans le processus "winlogon.exe".

Grâce à cette injection, le rootkit r77 introduit le SeroXen RAT dans la mémoire du système, assurant sa présence secrète et permettant l'accès à distance à l'appareil compromis. Une fois le logiciel malveillant d'accès à distance lancé, il établit une communication avec un serveur de commande et de contrôle, en attendant les commandes des attaquants.

L'analyse révèle que SeroXen utilise le même certificat TLS que le Quasar RAT et qu'il hérite de la plupart des fonctionnalités du projet d'origine. Ces fonctionnalités englobent la prise en charge des flux réseau TCP, une sérialisation réseau efficace et la compression QuickLZ.

Les chercheurs en cybersécurité avertissent que la popularité croissante de SeroXen pourrait conduire à un changement potentiel d'orientation du ciblage des joueurs vers le ciblage des grandes organisations. Pour aider les défenseurs du réseau à lutter contre cette menace, les organisations doivent prendre des précautions contre la menace. Il existe des ressources précieuses pour identifier et atténuer la présence de SeroXen au sein des réseaux, permettant aux défenseurs d'améliorer leurs mesures de cybersécurité et de se protéger contre les attaques potentielles.

Tendance

Le plus regardé

Chargement...