俄罗斯黑客论坛出售DCRat后门专家发出警报

网络安全研究人员发现了一种主动维护的远程访问特洛伊木马，名为DCRat（又名DarkCrystal RAT），该木马以“极其便宜”的价格出售，使专业网络安全犯罪集团和新手都可以访问。

“与资金雄厚、规模庞大的俄罗斯威胁组织不同，这些组织制造定制恶意软件[…]，黑莓研究人员在与《黑客新闻》分享的一份报告中表示：“这个远程访问特洛伊木马（RAT）似乎是一个独角戏，它提供了一个惊人有效的自制工具，可以在预算内打开后门。”

“事实上，这个威胁演员的商业老鼠的售价仅为俄罗斯地下论坛上此类工具的标准价格的一小部分。”

已写入。NET由一个代号为“boldenis44”和“crystalcoder”的个人开发，DCRat是一个功能齐全的后门，其功能可以通过附属公司使用称为DCRat Studio的专用集成开发环境（IDE）开发的第三方插件进一步增强。

它于2018年首次发布，3.0版于2020年5月30日发布，4.0版于近一年后的2021年3月18日发布。

特洛伊木马的起价为两个月500卢布（5美元），一年2200卢布（21美元），终身订阅4200卢布（40美元），这些数字在特别促销期间进一步降低。

而Mandiant之前在2020年5月进行的一项分析将RAT的基础设施追溯到文件。dcrat[.]ru，恶意软件包当前托管在另一个名为crystalfiles[.]的域中ru，表示对公开披露的反应发生了变化。

“所有DCRat营销和销售运营都是通过流行的俄罗斯黑客论坛lolz[.]guru还处理一些DCRat售前查询，”研究人员说。

另一个积极用于通信和共享软件和插件更新信息的是一个电报频道，截至撰写本文时，该频道拥有约2847名订户。

最近几周，该频道上发布的消息包括CryptoStealer、TelegramNotifier和WindowsDefenderExcluder插件的更新，以及面板的“外观更改/修复”。

4月16日分享的一条翻译消息中写道：“一些有趣的功能已经转移到了标准插件。”。“构建的重量略有下降。应该没有专门针对这些功能的检测。”

除了模块化架构和定制插件框架之外，DCRat还包含一个管理员组件，该组件被设计为秘密触发一个杀戮开关，从而允许威胁参与者远程使该工具无法使用。

管理实用程序使订阅者能够登录到活动的命令和控制服务器，向受感染的端点发出命令，并提交错误报告等。

使用DCRat感染主机的分布载体包括钴打击信标和一个称为Prometheus的交通方向系统（TDS），Prometheus是一种基于订阅的crimeware-as-a-service（CaaS）解决方案，用于提供各种有效载荷。

除了收集系统元数据外，该植入还支持监视、侦察、信息窃取和DDoS攻击功能。它还可以捕获屏幕截图、记录击键，并从剪贴板、电报和web浏览器中窃取内容。

研究人员说：“几乎每天都会发布新插件和小更新。”“如果威胁是由一个人开发和维持的，那么这似乎是他们全职从事的项目。”