DcRat v1.0.7
DcRat est un cheval de Troie d'accès à distance (RAT) identifié principalement en association avec le groupe de menaces RedFoxtrot. DcRat est conçu pour permettre aux attaquants de prendre le contrôle à distance des systèmes infectés et est généralement utilisé pour le vol de données, la surveillance et le déploiement de logiciels malveillants supplémentaires. L'infrastructure du logiciel malveillant a ciblé des secteurs critiques, notamment les télécommunications et la finance. Les certificats associés à DcRat comportent souvent le nom distinctif « DcRat Server » d'une entité nommée « qwqdanchun », ce qui indique une source cohérente de distribution du logiciel malveillant. RedFoxtrot utilise plusieurs méthodes et outils avec DcRat, notamment Cobalt Strike et AsyncRAT, pour l'infiltration et les activités de commande et de contrôle. Les méthodes d'accès initiales impliquent généralement des tactiques d'ingénierie sociale ou l'exploitation des vulnérabilités pour compromettre les systèmes cibles.
Fonctionnalités
Connexion TCP avec vérification de certificat, stable et sécurisée Port IP du serveur archivé via un lien Prise en charge multi-serveurs et multi-ports Système de plug-ins via DLL, offrant une grande extensibilité Taille client ultra-compacte (environ 40 à 50 Ko) Transformation des données avec msgpack (meilleure que JSON et d'autres formats) Système de journalisation enregistrant tous les événements
Fonctions Exécution à distance Bureau à distance Caméra à distance Éditeur de registre Gestion de fichiers Gestion des processus Netstat Enregistrement à distance Notification de processus Envoi de fichier Injection de fichier Téléchargement et exécution Envoi de notification Chat Ouvrir un site web Modifier le fond d'écran Enregistreur de frappe Recherche de fichiers DDOS Ransomware Désactiver Windows Defender Désactiver l'UAC Récupération de mot de passe Ouvrir le CD Verrouillage de l'écran Arrêt/redémarrage/mise à niveau/désinstallation du client Arrêt/redémarrage/déconnexion du système Contournement de l'UAC Obtenir des informations sur l'ordinateur Miniatures Auto Tâche Mutex Protection des processus Bloquer le client Installer avec schtasks etc. Support Les systèmes suivants (32 et 64 bits) sont pris en charge : Windows XP SP3 Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2012 Windows 8/8.1 Windows 10 À FAIRE Récupération de mot de passe et autres voleurs (seuls Chrome et Edge sont actuellement pris en charge) Proxy inverse VNC masqué RDP masqué Navigateur masqué Carte client Microphone en temps réel Fonctions amusantes Collecte d'informations (éventuellement avec l'interface utilisateur) Prise en charge de l'Unicode dans le shell distant Prise en charge du téléchargement de dossiers Plusieurs méthodes d'installation des clients sont disponibles.