一种名为"SeroXen"的隐秘远程访问木马 (RAT) 最近开始流行，网络犯罪分子开始使用它，是因为它的检测到率低，功能强大。

AT&T 报告说，该恶意软件以 Windows 11 和 10 的合法远程访问工具的名义出售，价格为每月 15 美元或一次性"终身"许可证支付 60 美元。

SeroXen 网站 (BleepingComputer)上列出的功能

尽管以合法程序的名义销售，但 Flare Systems 网络安全平台显示，SeroXen 在黑客论坛上被宣传为远程访问木马。不清楚在论坛上宣传它的是否是开发人员，还是可疑的分销商。

然而，远程访问程序的低成本使得它对威胁 actor 非常具有吸引力，自 2022 年 9 月以来，AT&T 已经观察到数百个样本，并且活动最近有所增加。

SeroXen 的受害者主要集中在游戏社区，但随着该工具的流行程度增加，其目标范围可能会扩展到包括大型企业和组织机构。

SeroXen 促销活动时间表 （AT&T）

开源构建块

SeroXen 基于各种开源项目，包括 Quasar RAT、r77 rootkit 和 NirCmd 命令行工具。

“SeroXen 开发人员发现了一种强大的免费资源组合，可以开发一种难以在静态和动态分析中检测到的 RAT，” AT&T 在报告中评论道。

“使用像 Quasar 这样经过精心设计的开源 RAT，自首次出现以来已有近十年的历史，为 RAT [...]使该工具更难以捉摸，更难被发现。”

SeroXen 基于 Quasar RAT，这是一款最初于 2014 年发布的轻量级远程管理系统。其最新版本 1.41 提供了反向代理、远程 shell、远程桌面、TLS 通信和文件管理系统，并通过 GitHub 免费发布。

r77(Ring 3) rootkit 是一款开源 rootkit，提供文件 less persistence、子进程钩子、恶意嵌入、内存进程注入和防杀毒软件绕过等功能。

NirCmd 是一款免费的工具，可以从命令行执行简单的 Windows 系统和外设管理任务。

SeroXen 攻击

AT&T 已经看到攻击通过网络钓鱼电子邮件或 Discord 渠道推动 SeroXen，网络犯罪分子在这些渠道中分发包含高度混淆的批处理文件的 ZIP 存档。

混淆的批处理文件 (AT&T)

批处理文件从 base64 编码的文本中提取两个二进制文件，并使用 .NET 反射将它们加载到内存中。

接触磁盘的唯一文件是 msconfig.exe 的修改版本，恶意软件执行需要它，并临时存储在短暂的“C:\Windows\System32\”（注意额外空间）目录中安装程序后将被删除。

这个批处理文件最终部署了一个名为“InstallStager.exe”的有效负载，这是 r77 rootkit 的一个变体。

Rootkit 以混淆的形式存储在 Windows 注册表中，随后通过任务计划程序使用 PowerShell 激活，并将其注入“winlogon.exe”。

将有效负载注入内存 (AT&T)

r77 rootkit 将 SeroXen RAT 注入系统内存，确保它不被检测到，现在提供对设备的远程访问。

一旦启动远程访问恶意软件，它就会与命令和控制服务器建立通信并等待攻击者发出的命令。

SeroXen的执行流程 （AT&T）

分析师发现，SeroXen 使用与 QuasarRAT 相同的 TLS 证书，并具有原始项目的大部分功能，包括 TCP 网络流支持、高效的网络序列化和 QuickLZ 压缩。

AT&T 担心 SeroXen 的日益流行会吸引黑客对大型组织感兴趣，而不是专注于游戏玩家，因此已经发布了供网络防御者使用的妥协指标。

本文翻译自：https://www.bleepingcomputer.com/news/security/stealthy-seroxen-rat-malware-increasingly-used-to-target-gamers/如若转载，请注明原文地址 - 4HOU.COM