出品
开源中国
在恶意软件分析师与开发人员就使用该工具的攻击进行质询后,新的名为CodeRAT远程访问木马(RAT)的开发者在GitHub上公开了其源代码。网络安全公司SafeBreach报告称,CodeRAT通过使用包含Microsoft动态数据交换(DDE)漏洞的MicrosoftWord文档来针对讲波斯语的代码开发人员。
CodeRAT支持大约50种与文件、进程操作和屏幕捕获、剪贴板、文件和环境信息的窃取功能相关的不同命令,还支持用于升级或安装其他恶意软件二进制文件的命令。并具有针对web邮件、MicrosoftOffice文档、数据库、社交网络平台、WindowsAndroid的集成开发环境(IDE)甚至PayPal等个人网站的广泛监控功能,以及监视VisualStudio、Python、PhpStorm和Verilog等工具的敏感窗口。
CodeRAT的通信方式是通用的并且非常独特的,支持使用botAPI或USB闪存驱动器通过Telegram组进行通信。它还可以在silent模式下运行,其中包括不返回报告。CodeRAT使用匿名的公共上传站点,而不是专用的C2服务器,并使用反检测技术将其使用时间限制为30天。此外,它将使用HTTPDebugger网站作为代理与其C2Telegramgroup进行通信。
当研究人员联系恶意软件开发者时,其恶意活动已突然停止;但尽管如此,BleepingComputer指出,由于作者公开了源代码,CodeRAT可能会变得更加流行。
攻击者可以通过构建和混淆命令的UI工具生成命令,然后使用以下三种方法之一将它们传输到恶意软件:
带代理的TelegrambotAPI(无直接请求)
手动模式(包括USB选项)
“myPictures”文件夹中本地存储的命令
同样的三种方法也可用于数据泄露,包括单个文件、整个文件夹或针对特定文件扩展名。
如果受害者所在的国家/地区禁止了Telegram,CodeRAT会提供反过滤功能,该功能会建立一个单独的请求路由通道,帮助绕过封锁。
据称,该恶意软件可以在重启之间持续存在,而不对Windows注册表进行任何更改,但SafeBreach并没有提供有关这一功能的任何细节。CodeRAT带有强大的功能,很可能会吸引其他网络犯罪分子。