恶意软件开发者在暴露后开源 CodeRAT

安全
据称,该恶意软件可以在重启之间持续存在,而不对 Windows 注册表进行任何更改,但 SafeBreach 并没有提供有关这一功能的任何细节。CodeRAT 带有强大的功能,很可能会吸引其他网络犯罪分子。

在恶意软件分析师与开发人员就使用该工具的攻击进行质询后,新的名为 CodeRAT 远程访问木马 (RAT) 的开发者在 GitHub 上公开了其源代码。网络安全公司 SafeBreach 报告称,CodeRAT 通过使用包含 Microsoft 动态数据交换 (DDE) 漏洞的 Microsoft Word 文档来针对讲波斯语的代码开发人员。

CodeRAT 支持大约 50 种与文件、进程操作和屏幕捕获、剪贴板、文件和环境信息的窃取功能相关的不同命令,还支持用于升级或安装其他恶意软件二进制文件的命令。并具有针对 web 邮件、Microsoft Office 文档、数据库、社交网络平台、Windows Android 的集成开发环境 (IDE) 甚至 PayPal 等个人网站的广泛监控功能,以及监视 Visual Studio、Python、PhpStorm 和 Verilog 等工具的敏感窗口。

CodeRAT 的通信方式是通用的并且非常独特的,支持使用 bot API 或 USB 闪存驱动器通过 Telegram 组进行通信。它还可以在 silent 模式下运行,其中包括不返回报告。CodeRAT 使用匿名的公共上传站点,而不是专用的 C2 服务器,并使用反检测技术将其使用时间限制为 30 天。此外,它将使用 HTTP Debugger 网站作为代理与其 C2 Telegram group 进行通信。 

当研究人员联系恶意软件开发者时,其恶意活动已突然停止;但尽管如此,BleepingComputer 指出,由于作者公开了源代码,CodeRAT 可能会变得更加流行。

攻击者可以通过构建和混淆命令的 UI 工具生成命令,然后使用以下三种方法之一将它们传输到恶意软件:

  • 带代理的 Telegram bot API(无直接请求)
  • 手动模式(包括 USB 选项)
  • “myPictures” 文件夹中本地存储的命令

同样的三种方法也可用于数据泄露,包括单个文件、整个文件夹或针对特定文件扩展名。

如果受害者所在的国家 / 地区禁止了 Telegram,CodeRAT 会提供反过滤功能,该功能会建立一个单独的请求路由通道,帮助绕过封锁。

据称,该恶意软件可以在重启之间持续存在,而不对 Windows 注册表进行任何更改,但 SafeBreach 并没有提供有关这一功能的任何细节。CodeRAT 带有强大的功能,很可能会吸引其他网络犯罪分子。​

责任编辑:赵宁宁 来源: OSCHINA
相关推荐

2020-10-13 09:37:05

指纹跟踪技术恶意软件僵尸网络

2009-02-13 10:00:41

面试软件开发程序员

2022-02-11 09:12:05

解密密钥勒索软件网络犯罪

2009-09-09 08:45:53

2019-09-18 15:30:00

开发者技能开源

2013-05-15 10:02:08

软件开发开发者

2021-07-28 22:50:04

恶意软件黑客网络攻击

2010-11-08 09:36:23

移动软件开发者

2015-10-10 16:58:26

2023-10-16 08:00:00

2020-03-20 11:43:20

开发编程语言技术

2016-05-26 10:57:51

2022-09-07 11:56:53

汽车软件

2018-08-23 09:36:10

软件开发编程

2014-01-06 03:08:29

回顾开源独立开发者

2012-12-17 10:00:09

2014-12-22 09:37:50

软件开发

2009-12-01 11:25:03

iPhone地图软件

2015-03-26 10:41:41

谷歌开发者恶意软件拦截工具包

2022-01-26 08:00:55

软件系统软件开发
点赞
收藏

51CTO技术栈公众号