SeroXen è un nuovo RAT (Trojan ad Accesso Remoto) apparso alla fine del 2022 e diventando sempre più popolare nel 2023. Pubblicizzato come uno strumento legittimo sui forum di hacking e social media che consente l’accesso ai PC senza essere rilevato, viene venduto a soli $30 per una licenza mensile o $60 per un pacchetto a vita.
Come riportato dai ricercatori AT&T Cybersecurity, SeroXen sarebbe un RAT fileless, capace di eludere i rilevamenti di analisi statica e dinamica e sarebbe una combinazione di diversi progetti open source (Quasar RAT, r77-rootkit e NirCmd) per migliorarne la performance.
“Lo sviluppatore di SeroXen ha trovato una formidabile combinazione di risorse gratuite per sviluppare un RAT difficile da rilevare nell’analisi statica e dinamica. L’uso di un elaborato RAT open source come Quasar, a quasi un decennio dalla sua prima apparizione, costituisce una base vantaggiosa per il RAT. Mentre la combinazione di NirCMD e r77-rootkit sono aggiunte logiche al mix, poiché rendono lo strumento più sfuggente e più difficile da rilevare.“, si legge nel rapporto AT&T.
Lo scenario d’attacco
SeroXen RAT verrebbe fornito tramite e-mail di phishing o canale Discord propinando il download di un file ZIP contenente un file batch nascosto che eseguito automaticamente porterebbe, con una serie di passaggi, al payload finale dotato di capacità versatili come la persistenza fileless, l’evasione EDR, l’iniezione di processi in memoria e l’hooking.
Conclusioni
Centinaia sarebbero i campioni analizzati dal 2022 e la comunità gamers sarebbe l’obiettivo principale, ma non si può escludere che il target possa estendersi quanto prima.
Di seguito il video pubblicato dal YouTuber CyberSec Zaado che allerta la comunità Cyber sulle capacità effettive del RAT.
Fonte CyberSec Zaado