Ein aufwendig gestalteter Remote Access Trojaner (RAT) namens Xeno RAT wurde auf GitHub veröffentlicht und steht anderen Akteuren ohne zusätzliche Kosten zur Verfügung. Entwickelt in C# und kompatibel mit den Betriebssystemen Windows 10 und Windows 11, enthält der Open-Source-RAT laut seinem Entwickler moom825 „eine umfassende Auswahl an Funktionen für das Remote-Systemmanagement“. Dazu gehören ein SOCKS5-Reverse-Proxy und die Fähigkeit, Echtzeit-Audio aufzuzeichnen, sowie die Integration eines versteckten Virtual Network Computing (hVNC) Moduls, ähnlich wie DarkVNC, das Angreifern den Remote-Zugriff auf einen infizierten Computer ermöglicht.

„Xeno RAT wurde vollständig von Grund auf entwickelt, um einen einzigartigen und maßgeschneiderten Ansatz für Remote-Zugriffstools zu gewährleisten“, so der Entwickler in der Projektbeschreibung. Ein weiterer bemerkenswerter Aspekt ist, dass es einen Builder gibt, der die Erstellung maßgeschneiderter Varianten der Malware ermöglicht.

Es ist erwähnenswert, dass moom825 auch der Entwickler eines weiteren C#-basierten RAT namens DiscordRAT 2.0 ist, der von Bedrohungsakteuren innerhalb eines bösartigen npm-Pakets namens node-hide-console-windows verteilt wurde, wie ReversingLabs im Oktober 2023 bekannt gegeben hat.

In einem Bericht der Cybersicherheitsfirma Cyfirma, der letzte Woche veröffentlicht wurde, wurde beobachtet, wie Xeno RAT über das Discord-Content-Delivery-Netzwerk (CDN) verbreitet wurde, was erneut zeigt, wie der Anstieg von erschwinglicher und frei verfügbarer Malware zu einer Zunahme von Kampagnen führt, die RATs nutzen.

„Der primäre Vektor in Form einer Verknüpfungsdatei, getarnt als WhatsApp-Screenshot, fungiert als Downloader“, sagte das Unternehmen. „Der Downloader lädt das ZIP-Archiv vom Discord CDN herunter, extrahiert es und führt das nächste Payload der nächsten Stufe aus.“

Die mehrstufige Sequenz nutzt eine Technik namens DLL-Side-Loading, um eine bösartige DLL zu starten, während gleichzeitig Maßnahmen ergriffen werden, um Persistenz zu etablieren und Analyse und Erkennung zu umgehen.

Die Entwicklung kommt, während das AhnLab Security Intelligence Center (ASEC) die Verwendung einer Gh0st RAT-Variante namens Nood RAT enthüllte, die bei Angriffen auf Linux-Systeme eingesetzt wird und es Angreifern ermöglicht, sensible Informationen zu sammeln.

„Nood RAT ist eine Backdoor-Malware, die Befehle vom C&C-Server empfangen kann, um bösartige Aktivitäten wie das Herunterladen bösartiger Dateien, das Stehlen interner Dateien von Systemen und das Ausführen von Befehlen durchzuführen“, sagte ASEC. „Obwohl sie einfach an Form ist, ist sie mit der Verschlüsselungsfunktion ausgestattet, um die Erkennung von Netzwerkpaketen zu vermeiden und kann Befehle von Bedrohungsakteuren empfangen, um mehrere bösartige Aktivitäten auszuführen.“