恶意软件价格低至谷底，新一轮价格战将要打响

近期，在地下黑市出现了标价为5美元的“白菜价”的远程访问木马，标价者正是Dark Crystal远程访问木马（又名DCRat），这一举动震惊了网络安全人士的认知，同样引起了业界的内部焦虑。

据了解，该木马由一个独立开发人员完成编码，使用一种非常冷门的Web语言。研究人员认为如此内卷的超低价格可能会引发恶意软件的价格战，同时还标志着新的、颠覆性的恶意软件开发商正在源源不断进入网络犯罪市场，造成一系列的不良影响。

根据软件和安全公司BlackBerry的分析，该恶意软件的一种极低成本变体，称为Dark Crystal RAT（又名DCRat），似乎是唯一一家俄罗斯开发商的“作品”。开发者用流行的C#编写代码，同时也用相对晦涩的JPHP编写了管理服务器，JPHP是在Java虚拟机上运行的PHP Web语言的克隆。

该恶意软件平台受到入门级黑客的欢迎，因为它“物美价廉”，提供许多高级工具的功能，例如模块化架构和自定义插件。

根据事件响应公司Mandiant 2020年5月的分析，Dark Crystal恶意软件至少早在2018年就首次出现，其程序是用Java编写的。2019年，开发者添加了自定义插件框架，并使用C#重新设计了程序。根据Mandiant的分析，2020年，该程序至少有50个不同的命令，并引起了事件响应者的注意。

DCRat恶意软件具有三个不同的组件：在受感染系统上运行的恶意程序、用PHP编写的用作命令和控制界面的单个网页，以及用JPHP编写的管理员工具，JPHP是一种不常见的编程语言，用户通常是对游戏感兴趣的初级程序员。黑莓的辛普森说，使用JPHP很可能是因为开发人员精通这种编程语言，而不是因为任何特定的优势。

黑莓团队指出，虽然DCRat本身威胁性并不是很大，但该攻击工具的迭代改进速度非常快，威胁情报分析师应密切关注其动态。