SeroXen RAT
La comunidad de ciberdelincuentes ha adoptado un troyano de acceso remoto (RAT) sigiloso llamado 'SeroXen' cada vez más debido a sus poderosas capacidades y capacidad para evadir la detección.
Según informes de AT&T, el malware se comercializa engañosamente como una herramienta legítima de acceso remoto para Windows 11 y 10. Se ofrece por una tarifa de suscripción mensual de $15 o un pago único de licencia "de por vida" de $60. A pesar de que se presenta como una herramienta legítima, SeroXen en realidad se promociona como un troyano de acceso remoto en los foros de piratería. Las identidades de las personas detrás de estas promociones, ya sean desarrolladores reales o revendedores sin escrúpulos, siguen siendo inciertas.
Tabla de contenido
El SeroXen RAT está ganando terreno entre los ciberdelincuentes
El precio asequible del programa de acceso remoto SeroXen lo ha hecho accesible a una amplia gama de actores de amenazas. AT&T ha identificado numerosas muestras de SeroXen desde su aparición en septiembre de 2022, y la actividad que lo rodea se ha intensificado recientemente.
Si bien los objetivos principales de SeroXen han sido personas dentro de la comunidad de jugadores, existe una preocupación creciente de que, a medida que aumenta la popularidad de la herramienta, también se puede emplear para apuntar a entidades más grandes, como empresas y organizaciones destacadas.
La creciente popularidad de SeroXen entre los ciberdelincuentes se puede atribuir a sus bajas tasas de detección y sus potentes capacidades. Su apariencia engañosa como una herramienta legítima de acceso remoto la ha convertido en una opción atractiva para los actores de amenazas. Para mitigar los riesgos asociados con este troyano de acceso remoto, es imperativo que las personas y las organizaciones permanezcan alerta e implementen medidas de seguridad sólidas.
SeroXen RAT se desarrolla a partir de varios proyectos de código abierto
SeroXen se basa en varios proyectos de código abierto, incluidos Quasar RAT , el rootkit r77 y la herramienta de línea de comandos NirCmd. El desarrollador de SeroXen ha utilizado inteligentemente una combinación de estos recursos disponibles gratuitamente para crear una RAT que es difícil de detectar a través del análisis estático y dinámico.
Quasar RAT, que existe desde hace casi una década desde su lanzamiento inicial en 2014, sirve como base para SeroXen RAT. Proporciona una herramienta de administración remota liviana con la última versión, 1.41, que incorpora funciones como proxy inverso, shell remoto, escritorio remoto, comunicación TLS y un sistema de administración de archivos. Es de acceso abierto en GitHub.
Para expandir sus capacidades, SeroXen RAT emplea el rootkit r77 (Ring 3). Este rootkit de código abierto ofrece funciones como la persistencia sin archivos, el enganche de procesos secundarios, la incrustación de malware, la inyección de procesos en memoria y la evasión de la detección de antimalware. SeroXen también integra la utilidad NirCmd. NirCmd es una herramienta gratuita que facilita tareas de administración simples para sistemas Windows y periféricos a través de la ejecución de la línea de comandos.
Análisis de los ataques de SeroXen RAT
Se han empleado varios vectores de ataque para distribuir SeroXen, incluidos los correos electrónicos de phishing y los canales de Discord utilizados por los ciberdelincuentes. Estos actores distribuyen archivos ZIP que contienen archivos por lotes muy ofuscados.
Tras la extracción, el archivo por lotes decodifica un texto codificado en base64 para extraer dos archivos binarios. Estos archivos binarios luego se cargan en la memoria mediante la reflexión de .NET. La versión modificada de msconfig.exe, necesaria para ejecutar el malware, es el único archivo que interactúa con el disco. Se almacena temporalmente en el directorio 'C:\Windows\System32V (observe el espacio adicional), que dura poco y se elimina después del proceso de instalación del programa.
El archivo por lotes sirve como vehículo para implementar la carga útil 'InstallStager.exe', una variante del rootkit r77. Para mantener el sigilo y la persistencia, el rootkit se ofusca y se almacena en el registro de Windows. Posteriormente, se activa mediante PowerShell a través del Programador de tareas, inyectándose en el proceso "winlogon.exe".
A través de esta inyección, el rootkit r77 introduce SeroXen RAT en la memoria del sistema, asegurando su presencia encubierta y permitiendo el acceso remoto al dispositivo comprometido. Una vez que se inicia el malware de acceso remoto, establece comunicación con un servidor de comando y control, a la espera de los comandos de los atacantes.
El análisis revela que SeroXen emplea el mismo certificado TLS que Quasar RAT y hereda la mayoría de las capacidades del proyecto original. Estas capacidades abarcan soporte para flujos de red TCP, serialización de red eficiente y compresión QuickLZ.
Los investigadores de seguridad cibernética advierten que la creciente popularidad de SeroXen podría conducir a un cambio potencial en el enfoque de apuntar a los jugadores a apuntar a organizaciones más grandes. Para ayudar a los defensores de la red a combatir esta amenaza, las organizaciones deben tomar precauciones contra la amenaza. Existen recursos valiosos para identificar y mitigar la presencia de SeroXen dentro de las redes, lo que permite a los defensores mejorar sus medidas de ciberseguridad y protegerse contra posibles ataques.
