Сирийски участник в заплахи на име EVLF е разкрит като създател на семействата зловреден софтуер CypherRAT и CraxsRAT.
„Тези RAT са проектирани така, че да позволяват на нападателя да извършва дистанционно действия в реално време и да контролира камерата, местоположението и микрофона на устройството на жертвата“, заяви фирмата за киберсигурност Cyfirma в доклад, публикуван миналата седмица.
Твърди се, че CypherRAT и CraxsRAT се предлагат на други киберпрестъпници като част от схема за зловреден софтуер като услуга (MaaS). Смята се, че през последните три години до 100 уникални участници в заплахи са закупили двойните инструменти с доживотен лиценз.
Твърди се, че EVLF управлява уеб магазин, за да рекламира своя warez поне от септември 2022 г.
CraxsRAT е обявен за троянски кон за Android, който дава възможност на извършителя на заплахата да управляват дистанционно заразено устройство от компютър с Windows, като разработчикът постоянно пуска нови актуализации въз основа на обратна връзка от клиентите.
Зловредният пакет се генерира с помощта на конструктор, който разполага с опции за персонализиране и замаскиране на полезния товар, избор на икона, име на приложението, както и функции и разрешения, които трябва да бъдат активирани, след като бъде инсталиран на смартфона.
„CraxsRAT е един от най-опасните RAT в настоящия пейзаж на заплахите за Android, с въздействащи функции като заобикаляне на защитата на Google Play, преглед на екрана в реално време, както и обвивка за изпълнение на команди“, обяснява Cyfirma.
„Функцията „Super Mod“ прави приложението още по-смъртоносно, като затруднява деинсталирането на приложението (всеки път, когато жертвата се опита да деинсталира, страницата се срива).“
Зловредният софтуер за Android също така изисква от жертвите да му предоставят разрешения за достъп до услугите за достъпност на Android, което му позволява да събира богата информация, която би била ценна за киберпрестъпниците, включително дневници на обажданията, контакти, външно хранилище, местоположение и SMS съобщения.
EVLF е забелязан да управлява канал в Telegram с име „EvLF Devz“, който е създаден на 17 февруари 2022 г. Към момента на писане на статията той има 10 678 абонати.
Търсенето на CraxsRAT извежда на повърхността многобройни кракнати версии на зловредния софтуер, хоствани в GitHub, въпреки че изглежда, че Microsoft е свалила някои от тях през последните няколко дни. Акаунтът в GitHub на EVLF обаче остава активен в услугата за хостинг на кодове.
На 23 август 2023 г. EVLF публикува съобщение в канала, в което казва, че окачва обувките на проекта, вероятно в отговор на публичното разкриване на дейността им.
„за съжаление това е краят , поради житейски обстоятелства ще спра да разработвам и публикувам“, се казва в съобщението на EVLF. „за моите клиенти не се притеснявайте , няма да ви оставя и да си тръгнете , ще пусна няколко пача за вас, преди да си тръгна.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.