CrySome RAT dobio HVNC i AV killer module
CrySome RAT je novi .NET remote access trojan za Windows koji napadačima daje široku kontrolu nad zaraženim sistemom, uključujući izvršavanje komandi, rad sa fajlovima i nadzor nad korisnikom. Prema opisu iz teksta, malware podržava krađu tastera, snimanje ekrana, mikrofona i kamere, a sada uključuje i HVNC i module za gašenje antivirusne zaštite. Posebno zabrinjava to što koristi više mehanizama opstanka, uključujući scheduled taskove, servis, watchdog proces i izmene koje mu mogu pomoći da preživi i ozbiljnije pokušaje čišćenja sistema.
Ovde problem nije samo daljinski pristup računaru, već to što se alat pretvara u kompletnu platformu za nadzor, krađu podataka i dugotrajno zadržavanje u sistemu. Kada se ovakav malware nudi kroz jeftine pretplate i kada se njegove crackovane verzije pojave na forumima i Telegram kanalima, raste šansa da ga počnu koristiti i manje sposobni akteri.
- Pratiti sumnjive TCP veze ka nepoznatim C2 adresama i neuobičajeno C# .NET izvršavanje
- Proveriti scheduled taskove, RunOnce ključeve, servise i watchdog procese na kompromitovanim sistemima
- Obratiti pažnju na pokušaje gašenja antivirusne zaštite i tragove HVNC aktivnosti
- Pregledati recovery particiju i offline izmene registra ako postoji sumnja na upornu infekciju
- Izolovati zaražene Windows sisteme i planirati dublju forenziku, ne samo standardno čišćenje