Зловред ценой в 175 рублей может украсть миллионы. Троян RADX нацелился на российские компании

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

С сети появилась информация, что на российские компании раскручена масштабная фишинговая компания. Для этого используется троян удаленного действия DarkCrystal RAT, нацеленный на атаки финансового сектора, банков, строительства и IT. Мошенников интересует доступ к клиентским базам данных, финансовой отчетности и доступы к аккаунтам. Уже известно, что DarkCrystal RAT впервые засветился в «даркнете» с 2019 года и за это время научился перехватывать действия пользователя, воровать доступ к персональным и финансовым данным, делать и отправлять скриншоты своим владельцам, а также переправлять необходимые куки и истории браузеров, содержимое буферов памяти и взламывать доступы к большинству мессенджеров. А после проведенной модернизации, новый вид трояна получил прозвище «RADX».


Автор: fusionbrain. ai Источник: fusionbrain.ai

Уже известны основные способы распространения, а для этого в конце 2023 года на почтовые ящики пользователей рассылались электронные письма с вирусным содержимым. В основном письма уходили с ящика «sergkovalev» с пометкой «оплата сервера». Невнимательные пользователи могли открыть письмо и попытаться прочитать содержимое двух приложенных файлов. Именно тогда начиналось распространения трояна на компьютер и в сети организации. Во вложении письма были файлы с вирусным содержимым и после запуска любого из них запускался *.scr файл, устанавливающий трояна DarkCrystal RAT. Второй файл с файлом *.exe распространяет трояна RADX RAT.

Источник: www.facct.ru

После первой волны распространения вирусов, в декабре 2023 года последовала еще одна волна рассылки файлов, но уже с другим содержимым. Темы электронных писем содержали слова «подтверждении оплаты» или «не прошедшей оплаты», поэтому многие пользовали не обратили внимание на содержимое и пытались прочитать. Так же как и в первом случае, внутри были исполняемые файлы *.SCR и *.exe, которые загружали и устанавливали троянское ПО.

Самое интересное, что вредоносное программное обеспечение RADX RAT находится в «продаже» на закрытых сайтах, доступ к которым могут получить лишь определенный круг лиц. Троян RADX RAT там тоже распространяется и объявленная цена менее 200 рублей за неделю использования или менее 500 рублей на 3 месяца. При длительном заказе злоумышленнику дают в подарок еще и программу-стиллер для кражи паролей и других необходимых данных.