Tra gennaio e febbraio 2024 sono stati individuati i seguenti caricamenti di configurations di VenomRAT e RemcosRAT e la libreria di process killing RumpeDLL verso l’host 45.XX.XX.XX.
Dal 23 gennaio 2024 in poi si notano caricamenti e timestamps di modifica dei files di configurazione di malware RAT caricati verso l’host di distribuzione. Tale sessione di distribution è successiva all’articolo pubblicato sul blog di Swascan nell’Ottobre 2023, pubblicato al link seguente: https://www.swascan.com/it/venomrat-darknet-analisi-malware/.
Vi è un tentativo da parte dei malcoders di codificare i threats caricati in formato Base64 + Reversed text (testo al rovescio) e sostituire diverse tipologie di caratteri all’interno dei dati “grezzi” dei Portable Executables distribuiti con il fine di rendere più complessa la decodifica. Tali caratteri vengono poi correttamente sostituiti dalla libreria DLL RumpeDLL, anch’essa presente a bordo del server di malware delivery.
L’indirizzo IP pubblico in questione è una VPS (Virtual Private Server, istanza di sistema eseguita in un ambiente virtuale) registrata da Masterdaweb[.]com, cloud computing services utilizzabili in Brasile per effettuare, nel caso specifico, file hosting e delivery. Un elemento di rilievo è relativo al fatto che il sample di RemcosRAT diffuso mediante tale VPS è stato compilato nel Novembre 2023, mentre per quanto riguarda VenomRAT il sample è stato compilato nel Marzo 2021, pertanto per quest’ultimo vi è stato perlopiù un aggiornamento dell’attività di distribuzione.
I threats di tipologia RAT possiedono come obiettivo principale quello di svolgere un’attività di malicious remote management verso la macchina compromessa e, in taluni casi, trafugare credenziali, dati sensibili degli utenti, installare ulteriori minacce, come ad esempio, nel caso specifico, ransomware threats e keyloggers.
Per l’approfondimento dell’analisi: