VenomRAT e RemcosRAT: update Febbraio 2024

Tra gennaio e febbraio 2024 sono stati individuati i seguenti caricamenti di configurations di VenomRAT e RemcosRAT e la libreria di process killing RumpeDLL verso l’host 45.XX.XX.XX

Dal 23 gennaio 2024 in poi si notano caricamenti e timestamps di modifica dei files di configurazione di malware RAT caricati verso l’host di distribuzione. Tale sessione di distribution è successiva all’articolo pubblicato sul blog di Swascan nell’Ottobre 2023, pubblicato al link seguente: https://www.swascan.com/it/venomrat-darknet-analisi-malware/. 

Vi è un tentativo da parte dei malcoders di codificare i threats caricati in formato Base64 + Reversed text (testo al rovescio) e sostituire diverse tipologie di caratteri all’interno dei dati “grezzi” dei Portable Executables distribuiti con il fine di rendere più complessa la decodifica. Tali caratteri vengono poi correttamente sostituiti dalla libreria DLL RumpeDLL, anch’essa presente a bordo del server di malware delivery. 

L’indirizzo IP pubblico in questione è una VPS (Virtual Private Server, istanza di sistema eseguita in un ambiente virtuale) registrata da Masterdaweb[.]com, cloud computing services utilizzabili in Brasile per effettuare, nel caso specifico, file hosting e delivery. Un elemento di rilievo è relativo al fatto che il sample di RemcosRAT diffuso mediante tale VPS è stato compilato nel Novembre 2023, mentre per quanto riguarda VenomRAT il sample è stato compilato nel Marzo 2021, pertanto per quest’ultimo vi è stato perlopiù un aggiornamento dell’attività di distribuzione. 

I threats di tipologia RAT possiedono come obiettivo principale quello di svolgere un’attività di malicious remote management verso la macchina compromessa e, in taluni casi, trafugare credenziali, dati sensibili degli utenti, installare ulteriori minacce, come ad esempio, nel caso specifico, ransomware threats e keyloggers

Per l’approfondimento dell’analisi:

Swascan Academy: Nuova Edizione del Corso CISSP
ChatGPT Ransomware: analisi del codice sorgente

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.