开源Xeno RAT木马成为GitHub的强大威胁

一种名为Xeno RAT的“设计复杂”的远程访问木马(RAT)已经在GitHub上提供，使其他参与者无需额外费用即可使用。

这款开源RAT是用c#编写的，兼容Windows 10和Windows 11操作系统，据其开发者moom825称，它具有“一套全面的远程系统管理功能”。

它包括一个SOCKS5反向代理和记录实时音频的能力，以及与DarkVNC类似的隐藏虚拟网络计算(hVNC)模块，它允许攻击者远程访问受感染的计算机。

开发商在项目描述中表示:“Xeno RAT完全是从零开始开发的，确保了远程访问工具的独特和定制方法。”另一个值得注意的方面是，它有一个构建器，可以创建定制的恶意软件变体。

值得注意的是，moom825还开发了另一种基于c#的RAT，名为DiscordRAT 2.0，该RAT已由威胁参与者在名为node- hidden -console-windows的恶意npm包中分发，正如ReversingLabs于2023年10月披露的那样。

网络安全公司Cyfirma在上周发布的一份报告中表示，它观察到Xeno RAT通过Discord内容分发网络(CDN)传播，再次强调了价格合理且免费的恶意软件的增加是如何推动利用RAT的活动增加的。

该公司表示:“主要矢量以快捷文件的形式出现，伪装成WhatsApp截图，充当下载程序。”“下载程序从Discord CDN下载ZIP文件，提取并执行下一阶段的有效载荷。”

多阶段序列利用一种称为DLL侧加载的技术来启动恶意DLL，同时采取步骤建立持久性并逃避分析和检测。

这一发展源于AhnLab安全情报中心(ASEC)透露使用了一种名为Nood RAT的Gh0st RAT变体，用于针对Linux系统的攻击，允许对手获取敏感信息。

ASEC表示:“Nood RAT是一种后门恶意软件，可以从C&C服务器接收命令，进行下载恶意文件、窃取系统内部文件、执行命令等恶意活动。”

“虽然形式简单，但它配备了加密功能，以避免网络数据包检测，并可以接收威胁行为者的命令，进行多种恶意活动。”

原文始发于微信公众号（HackSee）：开源Xeno RAT木马成为GitHub的强大威胁