DCRat malware richt zich op Windows apparaten
Het onderzoeksteam van BlackBerry heeft een nieuwe Russische RAT ontdekt. DCRat (ook bekend als DarkCrystal RAT) is een commerciële Russische backdoor die voor het eerst werd uitgebracht in 2018, voordat hij een jaar later opnieuw werd ontworpen en gelanceerd. DCRat wordt voornamelijk verkocht op Russische ondergrondse forums en is één van de goedkoopste commerciële RATs die de onderzoekers van BlackBerry ooit zijn tegengekomen. De prijs voor deze backdoor begint bij 500 RUB (minder dan 5 GBP/US$6) voor een abonnement van twee maanden, en daalt soms zelfs nog tijdens speciale promoties.
In de duistere onderwereld van Russische crimeware lijkt DCRat een beetje een dark horse te zijn. In tegenstelling tot de goed gefinancierde, massale Russische dreigingsgroepen die op maat gemaakte malware maken om universiteiten, ziekenhuizen, kleine bedrijven en meer aan te vallen, lijkt deze Trojan voor externe toegang (RAT) het werk te zijn van een eenzame speler, die een verrassend effectief zelfgemaakt hulpprogramma biedt voor het openen van backdoors met een beperkt budget. In feite verkoopt de commerciële RAT van deze bedreiger voor een fractie van de standaardprijs die voor dergelijke tools wordt gevraagd op Russische ondergrondse forums.
Deze prijsklasse is een merkwaardige eigenschap, omdat het lijkt alsof de auteur niet bepaald uit is op winst. Het zou kunnen dat ze gewoon een wijd net uitwerpen, en proberen een beetje geld te krijgen van een heleboel kwaadwillende mensen. Het zou ook kunnen dat zij een alternatieve financieringsbron hebben, of dat dit een passieproject is in plaats van hun voornaamste bron van inkomsten.
Enkele opvallende eigenschappen van DCRAT zijn:
- DCRat’s flexibele architectuur en op maat gemaakte plugin framework maken het een zeer flexibele optie, nuttig voor een scala aan criminele toepassingen. Dit omvat surveillance, verkenning, diefstal van informatie, DDoS-aanvallen, evenals dynamische code-uitvoering in een aantal verschillende talen.
- DCRat lijkt te zijn ontwikkeld en onderhouden door één enkele persoon onder de pseudoniemen “boldenis44,” “crystalcoder,” en Кодер (“Coder”).
- Het DCRat product zelf bestaat uit drie componenten: een stealer/client executable, een enkele PHP pagina, die dienst doet als command-and-control (C2) endpoint/interface, en een beheerderstool.
- De RAT lijkt momenteel actief in ontwikkeling te zijn. Het beheerprogramma en de backdoor/client worden regelmatig bijgewerkt met bugfixes en nieuwe functies; hetzelfde geldt voor de officieel uitgebrachte plugins.
Meer informatie over DCRAT is te lezen via deze link