黑莓团队形容它将受到脚本小子的欢迎,因为它的价格只是俄罗斯地下论坛上RAT等标准价格的一小部分。同时他们研究称,该恶意软件作者还经常对其提供维护,并且更像是一位专职人员。他们表示,“资金充足的黑客组织带来的威胁让人头疼,但是手头上有着大量时间的恶棍同样会造成更多的麻烦。”
让安全团队感到困惑的价格,因此他们猜测开发者可能是新手恶意软件作者,还没有掌握合适的定价结构,他们通过分析称,该恶意软件还设有一个“终止开关”,也就是说开发者可以随时选择关闭订阅许可。
据黑莓团队发文内容来看,他们长期追踪该恶意软件,研究人员指出,DCRat 于2018年首次出现,但一年后它被重新设计并重新启动。DCRat是用.NET编写的,具有模块化结构,并且可以使用名为DCRat Studio的专用集成开发环境(IDE)开发自己的插件。
该恶意软件的模块化架构允许为多种恶意目的扩展其功能,包括监视、侦察、信息盗窃、DDoS 攻击和任意代码执行。
DCRat 由三个组件组成:
窃取程序/客户端可执行文件
单个PHP页面,用作命令和控制(C2)端点/接口
管理员工具
据黑莓团队报告内容显示,这款DCRat恶意软件目前托管在crystalfiles.ru上。所有DCRat营销和销售业务都是通过流行的俄罗斯黑客论坛lolz.guru完成的,该论坛还处理一些DCRat售前查询。
值得注意的是,还有另一个名为DcRAT的开源RAT,可以在用户“qwqdanchun”的GitHub存储库中找到。但黑莓团队提醒,这很可能是一个完全不相关的项目,但对于安全研究人员来说也许能从中获得启发。
黑莓团队通过长期追踪分析认为,该恶意软件似乎是由一个化名为“boldenis44”、“crystalcoder”和 Кодер(“Coder”)的人开发和维护的。该恶意软件正在积极开发中,作者还通过一个拥有大约3000名订阅者的专用Telegram频道宣布软件更新等消息。
黑莓团队报告内容显示,“Boldenis44”这个ID还在游戏黑客论坛 blast.hk、俄罗斯 Minecraft 服务器 gamai.ru 以及俄罗斯暗网市场DarkNet.ug上拥有帐户。另外一个帐户上,疑是作者的个人资料中的照片则来自2014年德国黑客电影《我是谁:没有绝对安全的系统》。
致力于安全研究的相关人员可跳转以下链接阅读该报告的详细内容:
https://blogs.blackberry.com/en/2022/05/dirty-deeds-done-dirt-cheap-russian-rat-offers-backdoor-bargains
京公网安备 11010802033237号
