Threat actors unter dem Namen Anonymous Arabic haben einen Remote Access Trojaner (RAT) namens Silver RAT veröffentlicht, der in der Lage ist, Sicherheitssoftware zu umgehen und versteckte Anwendungen heimlich zu starten. Das Cybersicherheitsunternehmen Cyfirma berichtete letzte Woche in einem Bericht, dass die Entwickler auf mehreren Hacker-Foren und sozialen Medienplattformen aktiv sind und eine aktive und ausgefeilte Präsenz zeigen. Die Akteure, die als syrischen Ursprungs eingestuft werden und mit der Entwicklung eines anderen RATs namens S500 RAT in Verbindung gebracht werden, betreiben auch einen Telegram-Kanal, auf dem verschiedene Dienste wie die Verteilung von geknackten RATs, geleakten Datenbanken, Carding-Aktivitäten und der Verkauf von Facebook-und X (ehemals Twitter)-Bots angeboten werden. Die Bots für soziale Medien werden dann von anderen Kriminellen genutzt, um verschiedene illegale Dienstleistungen zu fördern, indem sie automatisch mit Benutzerinhalten interagieren und kommentieren. Die Entdeckungen von Silver RAT v1.0 wurden erstmals im November 2023 festgestellt, obwohl die Pläne der Bedrohungsakteure, den Trojaner zu veröffentlichen, bereits ein Jahr zuvor offiziell gemacht wurden. Er wurde im Oktober 2023 auf Telegram geknackt und geleakt. Die in C# geschriebene Malware bietet eine Vielzahl von Funktionen, um sich mit einem Command-and-Control (C2)-Server zu verbinden, Tastenanschläge zu protokollieren, Systemwiederherstellungspunkte zu zerstören und sogar Daten mit Ransomware zu verschlüsseln. Es gibt auch Hinweise darauf, dass eine Android-Version in Arbeit ist. Während der Erstellung einer Payload mit dem Builder von Silver RAT können Bedrohungsakteure verschiedene Optionen mit einer Payload-Größe von bis zu maximal 50kb auswählen. Nach der Verbindung erscheint das Opfer im von den Angreifern kontrollierten Silver RAT-Panel, das die Protokolle des Opfers basierend auf den gewählten Funktionen anzeigt. Eine interessante Evasionsfunktion, die in Silver RAT eingebaut ist, ist die Möglichkeit, die Ausführung der Payload um eine bestimmte Zeit zu verzögern und Apps heimlich zu starten und die Kontrolle über den kompromittierten Host zu übernehmen. Eine weitere Analyse des Online-Fußabdrucks des Malware-Autors zeigt, dass eines der Mitglieder der Gruppe wahrscheinlich Mitte 20 ist und in Damaskus ansässig ist.