Hacker siriani distribuiscono il Silver RAT basato su C# in modo stealthy ai criminali informatici
Il gruppo di minacciosi attori conosciuti come Anonymous Arabic ha recentemente diffuso un nuovo trojan di accesso remoto (RAT) denominato Silver RAT. Questo sofisticato strumento è stato progettato per eludere i software di sicurezza, consentendo il lancio nascosto di applicazioni.
Secondo la recente relazione della società di sicurezza informatica Cyfirma, i developer di questo RAT operano attivamente su vari forum di hacker e piattaforme di social media. Si sospetta che questi attori siano di origine siriana e abbiano collegamenti con lo sviluppo di un altro RAT noto come S500 RAT.
Oltre a diffondere il Silver RAT, gestiscono un canale Telegram che offre servizi quali la distribuzione di RAT craccati, dati trapelati, attività di carding e la vendita di bot per social media come Facebook e X (precedentemente Twitter).
Utilizzando bot sui social media, questi criminali informatici promuovono servizi illeciti interagendo automaticamente con i contenuti degli utenti.
Sebbene le prime rilevazioni del Silver RAT v1.0 nel mondo reale siano state osservate nel novembre 2023, i piani per rilasciare questo trojan erano già stati ufficializzati circa un anno prima. È stato reso disponibile tramite Telegram intorno a ottobre 2023.
Il malware basato su C# offre una vasta gamma di funzionalità, compresa la connessione a un server di comando e controllo (C2), la registrazione delle battiture della tastiera e la crittografia dei dati tramite ransomware. C’è anche la possibilità che sia in fase di sviluppo una versione per dispositivi Android.
Una delle caratteristiche più interessanti del Silver RAT è la sua abilità di ritardare l’esecuzione del payload per un tempo specifico e di avviare in modo discreto applicazioni per assumere il controllo dell’host compromesso.
Ulteriori indagini sull’autore del malware suggeriscono che uno dei membri del gruppo possa essere un individuo di circa 20 anni con sede a Damasco, il quale sembra esprimere supporto per la Palestina tramite i suoi post su Telegram.
Cyfirma ha segnalato che i membri associati a questo gruppo operano in diversi ambiti, inclusi social media, piattaforme di sviluppo, forum underground e siti Clearnet, suggerendo il coinvolgimento nella diffusione di varie forme di malware.