RAT: ecco SeroXen, non lascia tracce nel sistema

I ricercatori di sicurezza di AT&T hanno comunicato di aver scovato un nuovo RAT (Remote Access Trojan), chiamato SeroXen, che offre diverse funzioni avanzate, prima tra tutte quella che evita di lasciare tracce nel sistema attaccato.

RAT: scoperto SeroXen, ecco come asgisce

SeroXen si basa su vari progetti di natura open soruce e viene offerto come un tool di accesso remoto per Windows 10 e per Windows 11. Si tratta di una versione "rivisitata" di Quasar, un legittimo tool open source di amministrazione remota

Presenta un costo pari a 30 dollari/mese o 60 dollari una tantum. Ad essere principalmente presi di mira sono i gamer, ma consdierando che la sua diffusione è in forte espansione non è escluso che possano venire colpite pure altre tipologie d'utenza.

Come anticipato, SeroXen è fileless, per cui non lascia tracce su disco e viene eseguito solo in memoria. Inoltre, adotta svariate tattiche per evitare il rilevamento da parte degli antivirus e individuare la presenza di sandbox, debugger e ambienti di virtualizzazione.

L'infezione ha inizio con l'invio di un archivio ZIP tramite email o su Discord, il quale contiene alcuni file benigni e un file batch che estrae due eseguibili che vengono poi caricati in memroia. L’unico file copiato su disco nella directory C:\Windows \System32\ è una versione modificata di msconfig.exe. Successivamente vengono scaricati i file InstallStager.exe e il tool NirCmd.

Il rootkit è celato nel registro di Windows e iniettato nel processo winlogon.exe da uno script PowerShell. Successivamente viene caricato SeroXen in memoria e viene stabilito il collegamento con il server C&C (command and control) per la ricezione dei comandi.