目前,SeroXen RAT通过网络钓鱼电子邮件或Discord渠道提供。隐秘的SeroXen RAT可用作Windows 11和10的合法RAT,每月只需15-30美元,而购买者只需支付60美元即可获得终身许可证。
无文件RAT(远程访问木马)已成为网络犯罪分子针对游戏玩家的首选工具。根据AT&T的一份报告,该恶意软件被称为SeroXen,作为合法程序在黑客论坛和社交媒体上分发。
SeroXen RAT在静态和动态分析方面具有出色的检测规避能力。由于它是由不同的开源项目组合而成的,包括r77-rootkit、Quasar RAT和NirCmd,它的功能得到进一步增强,使其成为一个强大的RAT。
供您参考,Quasar RAT是2014年发现的轻量级远程管理工具,可在GitHub上免费获得。Quasar的最新版本(1.41)具有远程桌面、反向代理、TLS通信、远程shell和文件管理系统等多种功能。
相反,开源r77 rootkit还具有无文件持久性、内存进程注入、恶意软件嵌入、子进程挂钩和防病毒规避功能。NirCmd 是一个免费软件实用程序,只能从命令行执行Windows系统管理任务。
SeroXen RAT通过网络钓鱼电子邮件或Discord渠道提供。攻击场景涉及下载一个ZIP文件和一个隐藏的批处理文件。这个文件是自动执行的,经过几个步骤,最终的有效载荷最终被安装为两个.NET数组。其中之一是rootkit,具有多种功能,例如无文件持久性、EDR规避、内存进程注入和函数挂钩。
隐秘的SeroXen恶意软件可用作Windows 11和10的合法RAT,每月只需15-30美元,而购买者只需支付60美元即可获得终身许可证。这种RAT可能以如此低的成本对威胁行为者非常有吸引力。
目前尚不清楚那些出售恶意软件的人是SeroXen的开发商还是经销商。尽管如此,根据AT&T的博客文章,自该恶意软件于2022年9月首次出现以来,该公司分析了数百个样本,游戏社区是主要目标。
然而,鉴于SeroXen的易用性和低成本,攻击者可能会扩大攻击范围。观看网络安全研究人员CyberSec Zaado公开SeroXen RAT并从防御角度提醒社区注意其功能。
研究人员指出,目前没有反恶意软件工具可以检测到这种恶意软件,这就是为什么研究人员将其称为“完全无法检测的版本”。
“由于RAT被打包到一个混淆的PowerShell批处理文件中。该文件的大小通常在12-14兆字节之间,正如我们在5月21日上传到VT的样本8ace121fae472cc7ce896c91a3f1743d5ccc8a389bc3152578c4782171c69e87中看到的那样。由于其相对较大的大小,某些防病毒软件可能会选择不分析它,从而可能绕过检测,”AT&T Alien实验室报告读。
AT&T研究人员分析的样本在Virus Total上的检测为0,而一些众包Sigma Rules将其检测为可疑活动。然而,由于它是一种无生命的恶意软件,经过多次解压和解密程序后会在内存中执行,因此防病毒解决方案很难检测到它。
此外,SeroXen的工具包加载了一个新的ntdll.dll副本,这使得通过EDR(端点检测和响应)解决方案检测恶意软件变得更加困难。
评论已关闭。