FalseXmrigRAT
PE32 RAT в упаковке UPX, замаскированный под криптомайнер xmrig (поддельное расширение .elf). Процесс NtUnmapViewOfSection очищается. Захват веб-камеры AVICAP32. Скриншот GDI+. FtpPutFileA утечка данных FTP. URLDownloadToFileЗагрузка второго этапа. ShellExecuteВыполнение CMD.
Профиль угрозы
Тип
RAT
Язык программированияC/C++
C2 ПротоколFTP/HTTP
Первое обнаружение2024
Цели
Kuresel
Назначение / Возможности
- Удаленный доступ/стилер/веб-камера/скриншот
Для этого семейства пока не обнаружено C2-серверов.
Исследовательские отчёты (1)
FalseXmrigRAT f38504f5 -- NtUnmapViewOfSection Process Hollowing AVICAP32 Webcam GdipFree Screenshot FtpPutFileA FTP Exfil URLDownloadToFileA UPX Packed xmrig Kimligiyle Taklitci | Yuksek
FalseXmrigRAT f38504f5 UPX PE32 x86 355KB. NtUnmapViewOfSection process hollowing. AVICAP32 webcam. GdipFree screenshot. FtpPutFileA FTP exfil. URLDownloadToFile. xmrig madenci taklidi.
Читать отчёт →