New Malware Campaign Uses PureCrypter Loader to Deliver DarkVision RAT
- 새로운 악성코드 캠페인 개요
- PureCrypter라는 악성코드 로더를 이용해 DarkVision RAT를 배포하는 새로운 멀웨어 캠페인이 발견됨
- Zscaler ThreatLabz가 2024년 7월에 관찰한 이 활동은 다단계 프로세스를 통해 RAT 페이로드를 전달
- DarkVision RAT의 특징
- 명령 및 제어(C2) 서버와 소켓을 통한 맞춤형 네트워크 프로토콜로 통신
- 키로깅, 원격 접근, 비밀번호 탈취, 오디오 녹음, 스크린 캡처 등 다양한 악성 기능을 제공
- 초기 배포는 2020년이며, $60의 저렴한 가격으로 사이버 범죄자들에게 인기를 끌고 있음
- PureCrypter의 동작 방식
- .NET 실행 파일을 통해 오픈소스 Donut 로더를 복호화하고 실행
- Donut 로더가 PureCrypter를 실행하고, DarkVision RAT를 언팩 및 로드하며 지속성 확보
- Microsoft Defender Antivirus의 예외 목록에 RAT 파일 경로와 프로세스 이름을 추가하여 탐지 회피
- 지속성 확보 방법
- ITaskService COM 인터페이스를 사용해 예약 작업 설정
- Autorun 키 생성 및 배치 스크립트를 작성하여 Windows 시작 폴더에 단축 아이콘 추가
- DarkVision RAT의 주요 기능
- C++ 및 어셈블리(ASM)로 개발되어 최적의 성능 제공
- 프로세스 인젝션, 원격 쉘, 리버스 프록시, 클립보드 조작, 스크린샷 캡처 등 광범위한 악성 기능 탑재
- 웹 브라우저에서 쿠키 및 비밀번호 복구, 시스템 정보 수집, 추가 플러그인 수신 가능
- 신규 멀웨어 로더 Pronsis Loader
- 최근 Lumma Stealer와 Latrodectus를 배포하는 데 사용된 새로운 Pronsis Loader가 등장
- D3F@ck Loader와 JPHP-컴파일된 실행 파일을 사용하여 상호 교체 가능
- 설치 방식 차이: D3F@ck Loader는 Inno Setup Installer 사용, Pronsis Loader는 Nullsoft Scriptable Install System (NSIS) 활용
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 윈도우 보안을 강화하는 메모리 무결성 활성화 방법 (0) | 2024.11.23 |
|---|---|
| 악성 매크로 증가에 따른 규제 강화와 차단 프로그램 도입 필요성 (0) | 2024.11.23 |
| 구글의 메모리 안전성 강화 전략 (0) | 2024.11.23 |
| 디지털 포렌식 분석 프로세스: 효과적인 분석을 위한 단계별 접근법 (0) | 2024.11.23 |
| SW 공급망 보안을 위한 ‘시큐어 바이 디자인(Secure by Design)’의 핵심과 발전 방향 (2) | 2024.11.23 |