
Un cheval de Troie d’accès à distance (RAT) furtif nommé « SeroXen » a récemment gagné en popularité alors que les cybercriminels commencent à l’utiliser pour ses faibles taux de détection et ses puissantes capacités.
AT&T rapporte que le malware est vendu sous le couvert d’un outil d’accès à distance légitime pour Windows 11 et 10 pour 15 $/mois ou un seul paiement de licence « à vie » de 60 $.

Bien que commercialisée comme un programme légitime, la plate-forme de cyber-renseignements Flare Systems a montré que SeroXen est présenté comme un cheval de Troie d’accès à distance sur les forums de piratage. On ne sait pas si ceux qui en font la promotion sur les forums sont les développeurs ou les revendeurs louches.
Cependant, le faible coût du programme d’accès à distance le rend très accessible aux acteurs de la menace, AT&T observant des centaines d’échantillons depuis sa création en septembre 2022, l’activité ayant récemment augmenté.
La plupart des victimes de SeroXen font partie de la communauté des joueurs, mais à mesure que la popularité de l’outil augmente, la portée du ciblage pourrait s’élargir pour inclure de grandes entreprises et organisations.

Blocs de construction open source
SeroXen est basé sur divers projets open source, notamment Quasar RAT, le rootkit r77 et l’outil de ligne de commande NirCmd.
« Le développeur SeroXen a trouvé une formidable combinaison de ressources gratuites pour développer un RAT difficile à détecter dans les analyses statiques et dynamiques », commente AT&T dans le rapport.
« L’utilisation d’un RAT open-source élaboré comme Quasar, avec près d’une décennie depuis sa première apparition, constitue une base avantageuse pour le RAT […] tandis que la combinaison de NirCMD et du rootkit r77 sont des ajouts logiques au mélange, car ils rendre l’outil plus insaisissable et plus difficile à détecter. »
Quasar RAT, que SeroXen utilise comme base, est un outil d’administration à distance léger lancé pour la première fois en 2014. Sa dernière version, 1.41, comprend un proxy inverse, un shell distant, un bureau à distance, une communication TLS et un système de gestion de fichiers, et est disponible gratuitement. via GitHub.
Le rootkit r77 (Ring 3) est un rootkit open source qui offre une persistance sans fichier, un crochetage de processus enfant, une intégration de logiciels malveillants, une injection de processus en mémoire et une évasion antivirus.
NirCmd est un utilitaire gratuit qui exécute des tâches simples de gestion du système Windows et des périphériques à partir de la ligne de commande.
Attaques SeroXen
AT&T a vu des attaques pousser SeroXen via des e-mails de phishing ou des canaux Discord, où les cybercriminels distribuent des archives ZIP contenant des fichiers batch fortement obscurcis.

Le fichier de commandes extrait deux fichiers binaires du texte encodé en base64 et les charge en mémoire à l’aide de la réflexion .NET.
Le seul fichier qui touche le disque est une version modifiée de msconfig.exe, nécessaire à l’exécution du logiciel malveillant, et est temporairement stocké dans le répertoire de courte durée « C:\Windows\System32\ » (notez l’espace supplémentaire) qui est supprimé une fois le programme installé.
Ce fichier de commandes déploie finalement une charge utile nommée « InstallStager.exe », une variante du rootkit r77.
Le rootkit est stocké sous une forme masquée dans le registre Windows et est ensuite activé à l’aide de PowerShell via le planificateur de tâches, en l’injectant dans « winlogon.exe ».

Le rootkit r77 injecte le SeroXen RAT dans la mémoire du système, s’assurant qu’il reste non détecté et fournit désormais un accès à distance à l’appareil.
Une fois le logiciel malveillant d’accès à distance lancé, il établit la communication avec le serveur de commande et de contrôle et attend les commandes émises par les attaquants.

Les analystes ont constaté que SeroXen utilise le même certificat TLS que QuasarRAT et présente la plupart des fonctionnalités du projet d’origine, notamment la prise en charge du flux réseau TCP, la sérialisation réseau efficace et la compression QuickLZ.
AT&T craint que la popularité croissante de SeroXen n’attire les pirates intéressés à cibler les grandes organisations plutôt que de se concentrer sur les gamers et a publié des indicateurs de compromission à l’usage des défenseurs du réseau.