Подростки распространяют новый троян Silver RAT, способный обойти любую защиту

Хакерская группировка Anonymous Arab выпустила троян удаленного доступа (Remote Access Trojan, RAT ) под названием Silver RAT, который способен обходить ПО безопасности и незаметно запускать скрытные приложения. Об этом сообщила ИБ-компания Cyfirma в своем отчете.

Разработчики Silver RAT активно работают на многочисленных хакерских форумах и в социальных сетях, демонстрируя высокую активность и продвинутые навыки. RAT-троян продается по цене $900 за пожизненную лицензию, $160 за лицензию на год и $80 за полугодовую лицензию. По оценкам, авторы программы имеют сирийское происхождение и связаны с разработкой другого RAT, известного как S500 RAT.

Хакеры также ведут канал в Telegram, где предлагаются услуги по распространению взломанных RAT, утечки баз данных, кардинг, а также продажа ботов для Facebook* и X. Боты затем используются другими киберпреступниками для продвижения различных незаконных услуг, автоматически взаимодействуя и комментируя контент пользователей.

Объявление о продаже Silver RAT на одном из подпольных форумов

Первые случаи использования Silver RAT v1.0 в реальных условиях были замечены в ноябре 2023 года, хотя планы на выпуск трояна были объявлены за год до этого. В октябре 2023 года программа была взломана и утекла в Telegram. После утечки Silver RAT v1.0 доступен бесплатно в Telegram, а также на некоторых подпольных форумах и Github вместе с полными инструкциями по его использованию.

Вредоносное ПО на базе C# может похвастаться широким набором функций, позволяющих подключаться к серверу управления и контроля (Command and Control, C2 ), регистрировать нажатия клавиш, удалять точки восстановления системы и даже шифровать данные с помощью программ-вымогателей. Есть также указания на то, что разрабатывается версия для Android.

Cyfirma объясняет, что при создании полезной нагрузки с помощью компоновщика Silver RAT злоумышленники могут выбирать различные опции с размером полезной нагрузки до 50 КБ. После подключения жертва отображается на панели управления Silver RAT, которая контролируется хакером и отображает логи жертвы в зависимости от выбранных функций.

Киберпреступник может скрывать процессы под ложными заголовками, а конечная полезная нагрузка может быть сгенерирована в исполняемом файле Windows, доставленном с помощью социальной инженерии.

После успешного подключения оператор может инициировать различные вредоносные действия в целевой системе

Одна из интересных функций уклонения, встроенная в Silver RAT, — это способность задерживать выполнение полезной нагрузки на определённое время, а также скрытно запускать приложения и контролировать скомпрометированный хост. А функция исключения Защитника Windows предотвращает обнаружение после первого запуска программы.

Специалисты также обнаружили транзакции на криптокошельке авторов Silver RAT на сумму около $2 275 за сутки (с 24 декабря 2023 г. по 25 декабря 2023 г.), что может указывать на деятельность по обналичиванию средств. Дополнительный анализ онлайн-активности автора вредоносного ПО показывает, что одному из членов группы, вероятно, около 20 лет, и он проживает в Дамаске, Сирия.

Разработчик Silver RAT, судя по сообщениям в Telegram, поддерживает Палестину, а члены группы активны в различных сферах, включая социальные сети, платформы разработки, даркнет-форумы и веб-сайты в общедоступном интернете, что указывает на их участие в распространении различного вредоносного ПО.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.