Una potente forma di malware trojan che offre un completo accesso backdoor ai sistemi Windows viene venduto su forum underground al prezzo di una tazza di caffè ed è sviluppato e mantenuto da una persona.
Conosciuto come DCRat, il malware backdoor esiste dal 2018, ma da allora è stato riprogettato e rilanciato.
Quando il malware è economico è spesso associato a fornire solo capacità limitate. Ma DCRat, offerto online per soli 5 dollari, purtroppo è dotato di una varietà di funzioni, compresa la capacità di rubare nomi utente, password, dettagli della carta di credito, cronologia del browser, credenziali di accesso a Telegram, account Steam, token Discord e altro ancora.
DCRat può anche prendere screenshot, rubare il contenuto degli appunti e contiene un keylogger che può tracciare qualsiasi cosa la vittima digiti sul suo computer. In definitiva, fornisce ai cyber criminali l’accesso completo a quasi tutto ciò che la vittima fa dopo aver scaricato il malware.
Un malware così potente tende ad essere il lavoro di gruppi di cyber-criminali sofisticati e ben finanziati, ma secondo l’analisi dei ricercatori di cybersecurity di BlackBerry, DCRat è sviluppato e mantenuto da un singolo utente che commercializza attivamente il suo prodotto su diversi forum underground di lingua russa, così come un canale Telegram.
La natura anonima degli account non rivela molto sul creatore di DCRat, ma i ricercatori suggeriscono che, nonostante la natura potente del malware, mantenerlo non è il loro lavoro a tempo pieno.
Lo stato finanziario della persona dietro il malware potrebbe anche essere il motivo per cui DCRat è disponibile ad un prezzo così basso rispetto ad altri strumenti con capacità simili.
Lo strumento backdoor è scritto nel linguaggio di programmazione JPHP, un’oscura implementazione di PHP che gira su una macchina virtuale Java. Il linguaggio di codifica è spesso usato dagli sviluppatori di giochi multipiattaforma perché è facile da usare e flessibile. Nel caso di DCRat, queste caratteristiche lo rendono perfetto per lo sviluppo e l’aggiornamento del malware i ricercatori notano che aggiornamenti minori e correzioni sono annunciati quasi ogni giorno.
E poiché JPHP non è così ampiamente utilizzato come altri linguaggi di programmazione, è potenzialmente più difficile rilevare le firme e proteggere i sistemi.
C’è anche la prova che l’autore di DCRat non è del tutto onesto con i suoi clienti. Chiunque esegua un’istanza del malware può vedere le statistiche che mostrano “server funzionanti” e “utenti online“, ma l’analisi di queste schede sembra suggerire che i numeri sono completamente inventati.
DCRat rimane una potente minaccia per la sicurezza informatica, fornendo ai cyber criminali la capacità di rubare grandi quantità di informazioni da altri individui e organizzazioni, soprattutto perché il malware rimane in fase di sviluppo attivo, con nuove capacità aggiunte.
Non è ancora chiaro come DCRat sia effettivamente consegnato alle vittime, ma i ricercatori notano che la distribuzione del malware spesso coincide con l’uso di Cobalt Strike, uno strumento legittimo di penetration-testing che è spesso abusato dai criminali informatici.
