I ricercatori di AT&T hanno scoperto un nuovo RAT (Remote Access Trojan), denominato SeroXen, che offre diverse funzionalità avanzate, come quella che consente di non lasciare tracce nel sistema infettato. Il malware è basato su vari progetti open source, tra cui Quasar RAT e r77 rootkit, oltre che sul noto tool NirCmd.
SeroXen: RAT quasi invisibile
SeroXen viene offerto come un legittimo tool di accesso remoto per Windows 10/11. Il costo è 30 dollari/mese o 60 dollari una tantum. Le principali vittime sono i gamer, ma la sua popolarità è in aumento, quindi potrebbe essere utilizzato per colpire organizzazioni e grandi aziende.
SeroXen è fileless, in quanto non lascia tracce su disco e viene eseguito solo in memoria. Sfrutta inoltre diverse tecniche per evitare il rilevamento da parte degli antivirus e individuare la presenza di sandbox, debugger e ambienti di virtualizzazione. Il RAT è una versione modificata di Quasar, un legittimo tool open source di amministrazione remota.
La catena di infezione inizia con l’invio di un archivio ZIP via email o canale Discord. Al suo interno ci sono alcuni file benigni e un file batch che estrae due eseguibili, successivamente caricati in memoria. L’unico file copiato su disco nella directory C:\Windows \System32\
(con lo spazio dopo Windows) è una versione modificata di msconfig.exe
. Infine vengono scaricati i file InstallStager.exe (il rootkit r77) e il tool NirCmd.
Il rootkit viene nascosto nel registro di Windows e iniettato nel processo winlogon.exe
da uno script PowerShell. Il rootkit completa il lavoro caricando SeroXen in memoria. Il RAT stabilisce quindi un collegamento con il server C&C (command and control) e rimane in attesa dei comandi.