Uočena je sofisticirana kampanja pod nazivom DCRAT, usmjerena ka organizacijama u Kolumbiji, koja koristi napredne tehnike izbjegavanja kako bi uspostavila trajnu daljinsku kontrolu nad Windows sistemima.
Ovaj maliciozni softver, identifikovan kao DCRAT, predstavlja ozbiljnu eskalaciju među sajber prijetnjama usmjerenim protiv latinoameričkih entiteta, koristeći taktike imitacije državnih institucija kako bi prevario žrtve da pokrenu maliciozni korisni teret.
Kampanja koristi pažljivo izrađene phishing e-mail poruke koje se predstavljaju kao komunikacija od strane kolumbijskih vladinih agencija, navodeći primaoce da otvore ZIP priloge zaštićene lozinkom koji sadrže batch fajlove.
Ovi početni vektori služe kao ulazne tačke za složen proces infekcije u više faza, osmišljen da zaobiđe tradicionalne bezbjednosne mjere kroz sofisticirane tehnike prikrivanja, uključujući steganografiju, Base64 kodiranje i višestruka preuzimanja fajlova.
Analitičari kompanije Fortinet identifikovali su ovu prijetnju tokom nedavnih istraživanja, otkrivajući DCRAT-ove sveobuhvatne nadzorne mogućnosti koje daleko prevazilaze standardne funkcije malicioznog softvera.
Ovaj RAT (Remote Access Trojan) omogućava hakerima da izvršavaju daljinske komande, upravljaju fajlovima, nadgledaju aktivnosti korisnika, snimaju ekrane, sprovode keylogging operacije i preuzimaju dodatni maliciozni sadržaj.
Njegova modularna arhitektura omogućava kreatorima prijetnji da prilagode funkcionalnost u skladu sa konkretnim ciljevima, čineći ga naročito opasnim za ciljane špijunske kampanje.
Mehanizam infekcije pokazuje izuzetnu složenost kroz svoju višeslojnu strategiju prikrivanja.
Po izvršenju, početna batch datoteka preuzima jako prikriven VBScript sa servisa nalik Pastebinu, koji zatim pokreće PowerShell kod sa ugrađenim Base64 varijablama.
Taj PowerShell skript uspostavlja vezu sa udaljenim serverima koji hostuju slikovne fajlove u kojima je, tehnikama steganografije, sakriven krajnji izvršni maliciozni sadržaj.
Mehanizmi postojanosti malicioznog softvera variraju u zavisnosti od korisničkih privilegija – kreiraju se zakazani zadaci sa administratorskim ovlašćenjima ili unosi u registar pod HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ za standardne korisnike.
DCRAT koristi AES256 enkripciju za zaštitu svojih konfiguracionih postavki, uz ugrađene Base64 ključeve za dešifrovanje ključnih parametara, uključujući adrese komandno-kontrolnih servera (176.65.144.19:8848), nazive muteksa (DcRatMutex_qwqdanchun) i operativne zastavice.
Radi izbjegavanja detekcije, DCRAT primjenjuje više funkcija za zaštitu od analize, uključujući AMSI bypass tehnike koje zakrpljuju funkciju AmsiScanBuffer u memoriji, onemogućavajući da Windows Antimalware Scan Interface prepozna izvršavanje malicioznog koda.
Maliciozni softver takođe provjerava Win32_CacheMemory uređaje radi detekcije virtuelnih mašina, prekidajući izvršavanje ukoliko se otkriju uslovi sandbox okruženja.
RAT održava aktivnost sistema sprječavanjem prelaska u režim spavanja korišćenjem SetThreadExecutionState sa vrijednošću zastavice 0x80000003, čime osigurava neprekidan rad dok istovremeno održava komunikaciju sa infrastrukturom za komandovanje i kontrolu.
Ovaj sveobuhvatni pristup manipulaciji sistemom i izbjegavanju detekcije pokazuje rastuću sofisticiranost modernih RAT kampanja usmjerenih na kritičnu infrastrukturu i državne entitete.
Informacija o DCRAT napadu objavljena je na portalu Cybersecurity News. Riječ je o upozorenju koje detaljno opisuje kako ovaj maliciozni softver može preuzeti daljinsku kontrolu nad Windows sistemima, izvoditi keylogging, snimati ekrane i krasti lične fajlove. Upozorenje je prvobitno objavljeno na stranici Cybersecurity News, ali je izazvalo pažnju stručnjaka za bezbjednost širom svijeta.
Metodologija napada, kako je opisana, podrazumijeva korišćenje phishing e-mailova koji imitiraju službene kolumbijske vladine agencije. Napadači, putem tih e-mailova, pokušavaju navesti korisnike da otvore ZIP fajlove zaštićene lozinkom, u kojima se nalaze batch fajlovi. Kada se ti fajlovi pokrenu, započinje višefazni proces infekcije. To uključuje preuzimanje teško prikrivenih VBScriptova sa platformi poput Pastebina, koji potom izvršavaju PowerShell kod. Taj kod uspostavlja vezu sa udaljenim serverima gdje se, korišćenjem tehnika poput steganografije (sakrivanja podataka unutar slika), nalaze krajnji maliciozni programi. Cilj napadača je da prodru u sistem, ostanu neprimijećeni i prikupe osjetljive podatke.
Jedan od primjera napada je kampanja usmjerena na kolumbijske organizacije, gdje se imitacija vladinih agencija koristi kao mamac. Korisnicima se šalju e-mailovi sa pozivom da otvore priloge koji navodno sadrže važne državne dokumente ili informacije. Kada korisnik nasjedne na ovu prevaru i otvori fajl, napadači stiču pristup sistemu. Time im se omogućava da bilježe unose sa tastature, snimaju ekrane i, na kraju, ukradu lične fajlove, čime napad postaje potpuno prikriven i opasan. Upozorenje naglašava da je DCRAT sposoban za širok spektar špijunskih aktivnosti i preuzimanje kontrole nad kompromitovanim sistemom.
