CrySome RAT
A LevelBlue SpiderLabs egy többlépcsős CrySome RAT fertőzési láncot elemzett, amely célzott spear-phishing e-maillel indul. Az áldozat egy fuvarozási díjajánlatnak álcázott üzenetet kap, amely egy hamis weboldalra irányítja. Innen egy ZIP-fájl tölthető le, amely egy BAT fájlt tartalmaz. A batch szkript rejtett PowerShell folyamatot indít, letölti a következő fázis komponenseit, majd az ICMLuaUtil COM interfész segítségével UAC megkerülést hajt végre. Ezután memóriában kikapcsolja az AMSI védelmet, és a nyílt forráskódú WinDefCtl eszközzel letiltja vagy gyengíti a Microsoft Defender védelmi funkcióit, előkészítve a rendszer kompromittálását.
A védelem megkerülése után települ a CrySome RAT, amely Scheduled Task segítségével biztosít perzisztenciát. A malware moduláris felépítésű, támogatja a rejtett távoli asztalt, az RCE, a rendszerfelderítést, a fájlkezelést, a proxyfunkciókat és a billentyűnaplózást. Külön hitelesítőadat-lopó modulja a Chrome, Microsoft Edge és Brave böngészők folyamatait leállítja, majd egy beágyazott abe_decrypt.dll modult injektál a böngészőbe, amellyel visszafejti és ellopja a mentett jelszavakat és munkamenet-sütiket, amelyeket JSON-fájlokba ment, majd a C2 szerverre továbbít.
A LevelBlue szerint a CrySome RAT elsődleges célja a hosszú távú, rejtett hozzáférés fenntartása és a további poszt-exploitációs műveletek támogatása a kompromittált rendszeren.