Троян удалённого доступа обнаружен в подпольном рынке

Исследователи в области кибербезопасности обнаружили значительное развитие на подпольном рынке киберпреступлений, где продвигается сложный троян удалённого доступа, представляемый как полная альтернатива законному решению ScreenConnect. Этот вредоносный софт продвигается как способный обходить предупреждения безопасности Windows SmartScreen, соединяя вредоносные загружаемые модули с действительными сертификатами расширенной проверки (EV) и используя набор инструментов уклонения, включающий антибот-аналитику и замаскированные посадочные страницы.

Эти функции позволяют трояну демонстрировать безвредное содержимое автоматизированным сканерам и песочницам, в то время как он доставляет вредоносные модули реальным целям. Методы доставки включают безфайловые атаки с помощью PowerShell, фишинговые электронные письма, вредоносные ссылки и убедительные поддельные страницы загрузки Adobe Acrobat Reader, использующие социальную инженерию.

Особенности загрузки и управления

Технический анализ показывает, что данный троян использует безфайловое выполнение на основе PowerShell для загрузки своего модуля непосредственно в память, избегая постоянных файлов на диске и снижая вероятность обнаружения традиционными антивирусными сканерами. Способности удалённого доступа включают в себя обширный просмотрщик, предоставляющий злоумышленникам визуальный контроль в реальном времени для мониторинга, кражи данных и манипуляции системой.

Этот троян удалённого доступа продвигается в модели киберпреступления как услуга (CaaS) как "FUD loader", с обещаниями демонстраций и доставки в течение 24 часов, что нацелено на установку доступа перед развёртыванием вторичных модулей, таких как трояны для банковского дела или шпионские инструменты. Эволюция, в частности использование действительных EV сертификатов, подрывает доверие к легальному распространению программного обеспечения и усложняет обнаружение.