Peneliti keamanan siber telah mengungkap gerakan malware baru yang memanfaatkan pemuat malware bernama PureCrypter untuk mengirimkan trojan akses jarak jauh komoditas (RAT) yang disebut DarkVision RAT.

Aktivitas yang diamati oleh Zscaler ThreatLabz pada bulan Juli 2024 melibatkan proses multi-tahap untuk mengirimkan muatan RAT.

"DarkVision RAT berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol jaringan khusus melalui soket," kata peneliti keamanan Muhammed Irfan VA dalam sebuah analisis.

"DarkVision RAT mendukung berbagai perintah dan plugin yang memungkinkan kemampuan tambahan seperti pencatatan tombol, akses jarak jauh, pencurian kata sandi, rekaman audio, dan tangkapan layar."

PureCrypter, pertama kali diungkapkan ke publik pada tahun 2022, adalah pemuat malware siap pakai yang tersedia untuk dijual secara berlangganan, menawarkan pelanggan kemampuan untuk mendistribusikan pencuri informasi, RAT, dan ransomware.

Vektor akses awal yang tepat yang digunakan untuk mengirimkan PureCrypter dan, sebagai perluasan, DarkVision RAT tidak sepenuhnya jelas, meskipun hal itu membuka jalan bagi eksekusi .NET yang bertanggung jawab untuk mendekripsi dan meluncurkan pemuat Donut sumber terbuka .

Pemuat Donut selanjutnya meluncurkan PureCrypter, yang akhirnya membongkar dan memuat DarkVision, sekaligus menyiapkan persistensi dan menambahkan jalur berkas serta nama proses yang digunakan oleh RAT ke daftar pengecualian Microsoft Defender Antivirus .

Kegigihan dicapai dengan menyiapkan tugas terjadwal menggunakan antarmuka COM ITaskService, kunci autorun, dan membuat skrip batch yang berisi perintah untuk mengeksekusi RAT yang dapat dieksekusi dan menempatkan pintasan ke skrip batch di folder startup Windows.

RAT, yang awalnya muncul pada tahun 2020, diiklankan di situs clearnet dengan harga hanya $60 untuk pembayaran satu kali, menawarkan proposisi menarik bagi para pelaku ancaman dan calon penjahat dunia maya dengan sedikit pengetahuan teknis yang ingin melancarkan serangan mereka sendiri.

Dikembangkan dalam C++ dan assembly (alias ASM) untuk "kinerja optimal," RAT dilengkapi dengan serangkaian fitur ekstensif yang memungkinkan injeksi proses, shell jarak jauh, proxy terbalik, manipulasi clipboard, pencatatan tombol, tangkapan layar, serta pemulihan kuki dan kata sandi dari peramban web, antara lain.

Ia juga dirancang untuk mengumpulkan informasi sistem dan menerima plugin tambahan yang dikirim dari server C2, menambah fungsinya lebih jauh dan memberikan operator kendali penuh atas host Windows yang terinfeksi.

"DarkVision RAT merupakan alat yang ampuh dan serba guna bagi para pelaku kejahatan dunia maya, yang menawarkan berbagai macam kemampuan jahat, mulai dari pencatatan tombol dan penangkapan layar hingga pencurian kata sandi dan eksekusi jarak jauh," kata Zscaler.

"Keserbagunaannya ini, dipadukan dengan biaya rendah dan ketersediaannya di forum peretasan dan situs web mereka, telah membuat DarkVision RAT semakin populer di kalangan penyerang."

Sumber : https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html