FalseXmrigRAT

PE32 RAT в упаковке UPX, замаскированный под криптомайнер xmrig (поддельное расширение .elf). Процесс NtUnmapViewOfSection очищается. Захват веб-камеры AVICAP32. Скриншот GDI+. FtpPutFileA утечка данных FTP. URLDownloadToFileЗагрузка второго этапа. ShellExecuteВыполнение CMD.

Профиль угрозы
Тип RAT
Язык программированияC/C++
C2 ПротоколFTP/HTTP
Первое обнаружение2024
Цели Kuresel
Назначение / Возможности
  • Удаленный доступ/стилер/веб-камера/скриншот
Для этого семейства пока не обнаружено C2-серверов.

Исследовательские отчёты (1)

Высокий

FalseXmrigRAT f38504f5 -- NtUnmapViewOfSection Process Hollowing AVICAP32 Webcam GdipFree Screenshot FtpPutFileA FTP Exfil URLDownloadToFileA UPX Packed xmrig Kimligiyle Taklitci | Yuksek

FalseXmrigRAT f38504f5 UPX PE32 x86 355KB. NtUnmapViewOfSection process hollowing. AVICAP32 webcam. GdipFree screenshot. FtpPutFileA FTP exfil. URLDownloadToFile. xmrig madenci taklidi.

Читать отчёт →