据黑莓研究人员今天称，正在积极开发的预算友好型远程访问木马 (RAT) 在俄罗斯地下论坛上以约20美元的价格出售。

后门 Windows 恶意软件被称为 DCRat 或 DarkCrystal RAT，于 2018 年发布，然后在次年重新设计并重新启动。我们被告知，一个人称其为 boldenis44、crystalcoder 和 Кодер (Coder) 开发了 RAT，并且每天都在努力改进它。

尽管它的价格便宜，并且是一个单独的开发人员的工作，而不是由资金充足、复杂的犯罪团伙出售的定制恶意软件，但由于其模块化架构和插件框架，不法分子可以使用 DCRat 执行一系列邪恶的行为。黑莓研究团队在分析中写道，这包括间谍活动和数据盗窃、分布式拒绝服务攻击以及几种不同语言的动态代码执行。

一旦不法分子入侵（例如通过利用某些漏洞，或获取或猜测用户的凭据），预计 DCRat 将被部署在网络中。该工具用于远程控制受感染的系统，并且只能在付费订阅处于活动状态时使用副本。该产品由三个部分组成：

用 .NET 编写的可以窃取数据的客户端可执行文件
与 RAT 的后端命令和控制 (C2) 服务器交互的单个 PHP 页面
一种管理工具
“RAT 目前似乎正在积极开发中，”黑莓研究团队表示。“管理员工具和后门/客户端会定期更新错误修复和新功能；这同样适用于官方发布的插件。”

安全研究人员指出，DCRat 管理员工具是用 JPHP 编写的，这种情况很少见，因为它会生成非常大、速度慢的可执行文件。它还有一个终止开关，如果翻转，它会使管理员工具的所有实例都无法使用。

然而，一旦订阅验证检查完成，并且假设终止开关没有翻转，恶意软件订阅者可以使用管理员工具与命令和控制服务器通信，配置客户端可执行文件的构建，甚至提交错误向 DCRat 作者报告。整个包以及插件、插件开发框架和其他工具都托管在 crystalfiles[.]ru 上。

此前，它们位于 dcrat[.]ru，直到 2020 年 5 月的 Mandiant分析提示恶意软件作者将恶意软件移至新域。

安全研究人员还指出，最近几个月，DCRat 客户端正在通过Prometheus TDS（交通指挥系统）部署Cobalt Strike 信标。

虽然营销、销售和一些预售查询是通过俄罗斯网络犯罪论坛 lolz[.]guru 完成的，但黑莓表示 DCRat 可能会在其他论坛或暗网上出售：

在不同版本的 RAT 中，最常见的分发文件名似乎是 1ac770ea1c2b508fb3f74de6e65bc9c4[.]zip。

更新通过 Telegram 频道发布，该频道拥有约 3,000 名订阅者。

不包括恶意软件作者有时提供的任何促销折扣的定价是：

500 卢布（撰写本文时约 7 美元）用于两个月的许可证
2200 卢布（31 美元）一年
终身许可证 4200 卢布（60 美元）
黑莓的分析师表示，该产品的低价以及作者对 JPHP 的使用都表明“一个尚未找到合适定价结构的恶意软件新手作者”。但是，这并不意味着应该忽略 DCRat。

“一般来说，即使是在恶意软件中，你也会得到你所付出的。如果你为某件事付出了微薄的代价，那么明智地期望它的功能会降低或支持不佳，”它说。“但 DCRat 似乎以一种令人深感困惑的方式打破了这条规则。”

该团队写道，对于孤独的开发人员来说，这个令人讨厌的软件似乎是一份全职工作，他们“投入了大量时间和精力来取悦他们的客户”。

“这强调了安全从业人员不仅要担心世界上的 Contis 和 REvils 的想法，他们得出的结论是：“手头有太多时间的歹徒通常会造成同样多的麻烦。”

如果您希望扫描您的网络以查找此恶意代码，黑莓团队已经共享了入侵指标和其他技术细节。®