SeroXen, un Troiano di accesso remoto (RAT) di recente apparizione, è in rapida ascesa nel mondo del cybercrimine per le sue potenti capacità e la difficoltà nel rilevarne la presenza. Secondo quanto riportato da AT&T, questo malware viene venduto come un legittimo strumento di accesso remoto per Windows 11 e 10 al costo di 15 dollari al mese o con una licenza “a vita” di 60 dollari.
La Maschera di Legittimità dietro SeroXen
Nonostante sia pubblicizzato come un programma legittimo, le piattaforme di cyber intelligence come Flare Systems hanno rivelato che SeroXen viene promosso come un troiano di accesso remoto sui forum di hacking. La bassa tariffa dell’accesso remoto rende questo strumento molto accessibile agli attori delle minacce. AT&T ha osservato centinaia di campioni dal momento della sua creazione, a settembre 2022, con un aumento significativo dell’attività recentemente.
Le Vittime di SeroXen e le Sue Capacità
Le vittime principali di SeroXen sono nella comunità dei gamer, ma con la crescente popolarità dello strumento, è probabile che il suo ambito di azione si allarghi fino a includere grandi aziende e organizzazioni. SeroXen si basa su vari progetti open-source, tra cui Quasar RAT, il rootkit r77 e lo strumento da riga di comando NirCmd.
Attacchi di SeroXen e Difficoltà di Rilevazione
Gli attacchi con SeroXen sono stati osservati principalmente attraverso email di phishing o canali Discord, dove i cybercriminali distribuiscono archivi ZIP contenenti file batch pesantemente offuscati. Il file batch estrae due binari da un testo codificato in base64 e li carica in memoria usando la riflessione .NET.
Conseguenze dell’Infezione e Preoccupazioni Future
Una volta che il malware di accesso remoto è lanciato, stabilisce la comunicazione con il server di comando e controllo e attende i comandi emessi dagli aggressori. AT&T teme che la crescente popolarità di SeroXen attiri hacker interessati a colpire grandi organizzazioni piuttosto che concentrarsi sui gamer.