恶意软件开发者在暴露后开源 CodeRAT


在恶意软件分析师与开发人员就使用该工具的攻击进行质询后,新的名为 CodeRAT 远程访问木马 (RAT) 的开发者在 GitHub 上公开了其源代码。网络安全公司 SafeBreach 报告称,CodeRAT 通过使用包含 Microsoft 动态数据交换 (DDE) 漏洞的 Microsoft Word 文档来针对讲波斯语的代码开发人员。

CodeRAT 支持大约 50 种与文件、进程操作和屏幕捕获、剪贴板、文件和环境信息的窃取功能相关的不同命令,还支持用于升级或安装其他恶意软件二进制文件的命令。并具有针对 web 邮件、Microsoft Office 文档、数据库、社交网络平台、Windows Android 的集成开发环境 (IDE) 甚至 PayPal 等个人网站的广泛监控功能,以及监视 Visual Studio、Python、PhpStorm 和 Verilog 等工具的敏感窗口。

CodeRAT 的通信方式是通用的并且非常独特的,支持使用 bot API 或 USB 闪存驱动器通过 Telegram 组进行通信。它还可以在 silent 模式下运行,其中包括不返回报告。CodeRAT 使用匿名的公共上传站点,而不是专用的 C2 服务器,并使用反检测技术将其使用时间限制为 30 天。此外,它将使用 HTTP Debugger 网站作为代理与其 C2 Telegram group 进行通信。 

当研究人员联系恶意软件开发者时,其恶意活动已突然停止;但尽管如此,BleepingComputer 指出,由于作者公开了源代码,CodeRAT 可能会变得更加流行。

攻击者可以通过构建和混淆命令的 UI 工具生成命令,然后使用以下三种方法之一将它们传输到恶意软件:

  1. 带代理的 Telegram bot API(无直接请求)
  2. 手动模式(包括 USB 选项)
  3. “myPictures”文件夹中本地存储的命令

同样的三种方法也可用于数据泄露,包括单个文件、整个文件夹或针对特定文件扩展名。

如果受害者所在的国家/地区禁止了 Telegram,CodeRAT 会提供反过滤功能,该功能会建立一个单独的请求路由通道,帮助绕过封锁。

据称,该恶意软件可以在重启之间持续存在,而不对 Windows 注册表进行任何更改,但 SafeBreach 并没有提供有关这一功能的任何细节。CodeRAT 带有强大的功能,很可能会吸引其他网络犯罪分子。


相關推薦

2022-11-27

行了分析,以了解在 Docker Hub 上的容器镜像中隐藏了何种恶意负载。结果表明,其中有 1,652 个被识别为恶意镜像。 研究团队根据几个类别收集了恶意镜像。分析主要集中在两个主要类别:恶意 IP 或域名,以及 secrets。两者都可

2024-07-30

供更好的性能。 安全解决方案希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用,即使这些攻击者具有管理员权限。为此,Windows 在启动早期提供早期启动反恶意软件(ELAM)。 然而,内核驱动程序也需要权

2022-10-20

CVE-2022-39260。 第一个与 --local 克隆优化有关,导致从恶意存储库克隆时,$GIT_DIR 中可能出现任意文件。另一个漏洞是关于传递给 git shell 子命令的命令字符串过长,最终可能导致任意堆写入和远程代码执行。 具体为

2023-03-12

通过高信誉网站的钓鱼攻击 通过文件共享系统传播恶意软件 在企业环境中,使用个人浏览器配置导致泄露数据 使用版本过时的浏览器 薄弱的账号密码 易受攻击的非托管设备 高风险的浏览器扩展 影子 SaaS 用 AiTM

2022-03-31

在一份报告中,截至 3 月 21 日他们已观察到不少于 218 个恶意 NPM 包。检查后发现这都是针对 Azure 开发人员的新的大规模供应链攻击,攻击者采用了一个自动脚本来创建账户并上传覆盖整个 scope 的恶意软件包,旨在窃取个人身

2022-07-09

信息后进行调用。 (判断环境信息) 攻击影响 如果开发者安装了这些包,则会在被调用时挖掘 Monero币。由于 eazyminer 的作者在源代码中设置了cpu 优先级(eazyminer)为0,因此挖矿进程不会抢占其他进程的已有资源,不容易

2022-11-03

危险的趋势。报告指出: 2022 年上半年记录了 28 亿次恶意软件攻击(+11%)—— 三年多来全球恶意软件数量首次上升 虽然全球勒索软件数量减少了 23%,但欧洲却增加了 63% 即使在下降,年初至今的勒索软件数量也超过了 20

2022-08-09

过3.5万开源代码被投毒 8月3日13时名为 StephenLacy 的开发者在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。 https://mp.weixin.qq.com/s/4exLDOlayWm_

2023-04-12

导致拒绝服务 (DoS) 攻击。 Checkmarx 在上周发布的一份 npm 恶意行为分析报告中介绍: 针对开源生态系统的恶意活动正在导致大量垃圾邮件、SEO 中毒和恶意软件感染。 这些攻击造成了拒绝服务 (DoS),使 NPM 不稳定,甚至出现

2022-11-05

供下载的是伪装成 GIMP 的 700MB 可执行文件——实际上是恶意软件。 钓鱼网站的域名是 gilimp.org,与真正的官网域名 gimp.org 存在明显区别。BleepingCompuer 还发现了与此活动相关的另一个域名 gimp.monster,并调查了这些网站托

2022-09-07

ws Defender 都会弹出通知称:已经发现并删除了 win32/hive.zy 恶意软件。 对此,一位名为 Apptils Horray 的用户表示,Windows Defender 杀毒软件能够检测并警告用户 Hive 勒索软件的存在是一件好事。但这一反复弹出的通知消息实在

2022-01-11

ystems)的一个研究小组开发了一套独特的解决方案来检测恶意软件。该解决方案使用树莓派为主体,借助与之配套的设备来扫描电脑中发出的电磁波,通过分析电磁波即可得知此时是否有恶意活动正在发生。在测试期间,该检测

2022-01-19

Mirai 恶意软件在过去几年中声名鹊起,尤其是在其开发者发布 Mirai 源码之后。与 Mozi 类似,Mirai 滥用弱协议和弱密码(例如 Telnet)通过暴力破解攻击来破坏设备。 自从源代码公开以来,出现了多个 Mirai 变体,这个 Linux

2022-12-02

是一个开源的(GPL)反病毒引擎,用于检测木马、病毒、恶意软件和其他恶意威胁。它为用户提供了许多实用程序,包括一个可扩展的多线程守护程序、一个命令行扫描器和一个自动更新数据库的高级工具。 ClamAV 由思科和开源