Ένας Σουηδός hacker εντοπίστηκε προσπαθώντας να πουλήσει ένα νέο εργαλείο απομακρυσμένης πρόσβασης (RAT) χωρίς έγγραφα. Ονομάστηκε Blackremote από ερευνητές του Palo Alto Networks, και ο hacker προσπαθούσε να πουλήσει το RAT σε dark web forum από τον περασμένο μήνα. Ο hacker, ο οποίος χρησιμοποιεί τα Speccy και Rafiki, έχει δημοσιεύσει επίσης ένα βίντεο στο YouTube με οδηγίες για την εγκατάσταση του RAT.
Η περιγραφή του βίντεο στο YouTube περιελάμβανε ένα link προς το προσωπικό του website. Το βίντεο έχει επισημανθεί ως ιδιωτικό.
“Περιελάμβανε επίσης τον ισχυρισμό ότι αυτό το Blackremote RAT είναι μη ανιχνεύσιμο κατά τη διάρκεια του χρόνου εκτέλεσης και ότι υπάρχει link για την αγορά του κρυπτογράφου FUD. Δεν υπάρχει νόμιμος λόγος για το λογισμικό αυτό να χρειάζεται να είναι” μη ανιχνεύσιμο” ή “κρυπτογραφημένο”. Αντίθετα, οι προσπάθειες αυτές αποσκοπούν στην αποτροπή της ανίχνευσης από λογισμικό κατά των malware”, δήλωσαν οι ερευνητές.
Ο hacker περιέγραψε το malware ως σουίτα απομακρυσμένης διαχείρισης “ισχυρών και πλήρως εξοπλισμένων συστημάτων”.
“Θα σας δώσει πλήρη πρόσβαση και έλεγχο σε ένα απομακρυσμένο μηχάνημα μέσω ενός αμέτρητου αριθμού λειτουργιών, δίνοντάς σας τη δυνατότητα να παρακολουθείτε, να έχετε πρόσβαση ή να χειρίζεστε κάθε δραστηριότητα και δεδομένα εξ αποστάσεως, σαν να ήταν ακριβώς μπροστά σας!”, αναφέρει η περιγραφή.
Οι ερευνητές δήλωσαν ότι το Blackremote RAT έχει υψηλότερη τιμή σε σχέση με τα υπόλοιπα RAT, καθώς το εργαλείο είναι διαθέσιμο για $ 49 (£ 44) για άδεια 31 ημερών, $ 117 για 93 ημέρες και $ 438 για ένα έτος. Οι αγοραστές πρέπει να αγοράσουν το RAT χρησιμοποιώντας κρυπτοσυχνότητες όπως το Bitcoin.
Τα χαρακτηριστικά του RAT περιλαμβάνουν remote desktop, remote file manager, απομακρυσμένη webcam, καταγραφή keystoke και remote audio.
Οι ερευνητές δήλωσαν ότι τα RAT των βασικών προϊόντων πωλούνται συχνά στο Διαδίκτυο εδώ και χρόνια, οι δημιουργοί τους αποκομίζοντας οφέλη ενώ παράλληλα επιτρέπουν στους hacker να διαδώσουν χιλιάδες δείγματα malware που έχουν κατασκευαστεί με τους RAT builders.
Ο Matt Aldridge, αρχιτέκτων ανώτερων λύσεων στο Webroot, δήλωσε στη SC Media UK ότι οι οργανισμοί δεν πρέπει να βασίζονται σε καμία είδους ανίχνευση malware που βασίζεται στην υπογραφή ή βάσει κανόνων και να διασφαλίζουν ότι χρησιμοποιούν αντι-malware επόμενης γενιάς που χρησιμοποιεί ανίχνευση αυτού του τύπου του Remote Access Trojan.
“Οι οργανισμοί θα πρέπει επίσης να ελέγχουν τις διευθύνσεις URL που έχουν πρόσβαση από τις συσκευές τους, εξασφαλίζοντας ότι τα δεδομένα φήμης και υψηλής ποιότητας είναι ενσωματωμένα στα endpoint τους, στα gateways και / ή μέσω μιας πλατφόρμας ασφαλείας DNS – αυτό μπορεί να μετριάσει τo αρχικό download και τις επικοινωνίες εντολών και ελέγχου τέτοιων εργαλείων”, είπε.
Ο Javvad Malik, σύμβουλος ευαισθητοποίησης για την ασφάλεια στην KnowBe4, δήλωσε στη SC Media UK ότι θα πρέπει να υπάρχουν ισχυροί έλεγχοι ανίχνευσης που να ανιχνεύουν εάν το RAT το “κάνει” στο δίκτυο.
“Αυτό μπορεί να γίνει σε συνδυασμό με μια αξιόπιστη πηγή πληροφοριών απειλών που ενημερώνεται συνεχώς με τους τελευταίους indicators συμβιβασμού”, ανέφερε.
Για να πιάσουμε τον εγκληματία, «βλέπουμε συχνά πολλές οργανώσεις και χώρες να συνεργάζονται και να μοιράζονται πόρους για την επιβολή των νόμων επειδή οι περισσότεροι εγκληματίες λειτουργούν διασυνοριακά για να επιβραδύνουν και να αποθαρρύνουν τις αρχές», πρόσθεσε.
