Российских ретейлеров, банкиров, айтишников атакует троян RADX

Татьяна Никитина 18 Января 2024 - 19:36

...

Российских ретейлеров, банкиров, айтишников атакует троян RADX

В конце 2023 года в целевых атаках операторов DarkCrystal RAT засветился также неизвестный ранее троян удаленного доступа; в F.A.C.C.T. нарекли новобранца RADX RAT. Для его раздачи злоумышленники, как и прежде, используют имейл-рассылки.

Как оказалось, RADX с октября рекламируется на подпольных форумах. Продавцы позиционируют его как «самый лучший софт для работы с удаленным доступом и сбором секретной информации», а также как «самый дешевый RAT». Перед Новым годом его предлагали в комплекте с инфостилером, суля праздничные скидки.

В ноябре и декабре эксперты F.A.C.C.T зафиксировали на территории России очередные адресные рассылки кибергруппы, стоящей за DarkCrystal RAT. Злоумышленники атаковали маркетплейсы, торговые сети, банки, ИТ-компании, пытаясь получить доступ к финансовым документам, клиентским базам данных, корпоративной почте и чатам в мессенджерах.

В качестве приманки поддельные сообщения чаще всего использовали тему оплаты услуг: деньги якобы переведены, но не дошли до получателя. Письма были снабжены вредоносным вложением — чаще всего архивным файлом с двойным расширением.

В одну из фальшивок вместо этого была вставлена ссылка на ZIP-архив:

Полезной нагрузкой во многих случаях оказался DarkCrystal RAT (C2-сервер с московской пропиской, поднят в сетях провайдера Zerohost). Один из вариантов аттача устанавливал RADX RAT.

Анализ показал, что код зловреда обфусцирован с использованием Base64 и 3DES в режиме ECB. Троян устанавливается в систему как AppLaunch.exe, создает запланированное задание на автозапуск и добавляет себя в список исключений Microsoft Defender.

Вредонос умеет собирать информацию о зараженной системе (видеокарта, CPU) и хосте, выполнять команды с помощью cmd.exe, копировать файлы из папки %USERPROFILE%\Desktop (.txt, .doc, .docx, .xlsx, .xls), делать скриншоты, открывать ссылки в браузере, загружать файлы с C2 и запускать их на исполнение.

Кроме того, он поддерживает VNC (эмуляция клавиатуры и мыши) и собирает информацию из ряда приложений:

браузеров (Microsoft Edge, Chrome, Яндекс.Браузер, Opera, Brave, Vivaldi, Slimjet);
расширений Edge и Chrome;
криптокошельков (Exodus, Electrum, Coinomi);
Telegram и Discord (токены).

Создатели RADX RAT также позаботились о том, чтобы уменьшить его размеры и упростить развертывание. Троян использует Costura.Fody 5.7.0 — расширенный фреймворк, позволяющий встраивать код в сборки .net в виде зависимостей.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Июня 2026 - 17:37

Solar Aura Мошенничество Онлайн-мошенничество Домашние пользователи ГК «Солар»

Мошенники заманивают россиян фейковыми ваучерами на 100 литров топлива

Киберпреступники быстро подстраиваются под любую громкую новость. Стоило в информационном поле появиться разговорам о топливных ограничениях и лимитах, как мошенники запустили новую схему с бесплатным бензином.

Об этом сообщили специалисты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар».

По данным экспертов, злоумышленники начали распространять фишинговый сайт, который выдаёт себя за государственную инициативу поддержки граждан. Посетителям обещают от 20 до 100 литров бесплатного топлива и заявляют, что акция действует более чем на 500 АЗС по всей стране.

Выглядит всё достаточно убедительно: официальные формулировки, ссылки на несуществующие государственные программы и обещания быстрой компенсации расходов на бензин.

Для получения топливного ваучера пользователю предлагают заполнить анкету с персональными данными. Среди обязательных полей — ФИО, номер телефона и реквизиты банковской карты.

После этого жертва рискует не только потерять деньги, но и передать мошенникам данные, которые затем могут использоваться для новых атак, оформления кредитов или социальной инженерии.

По словам директора по развитию центра мониторинга внешних цифровых угроз Solar AURA Александра Вураско, подобные предложения не имеют никакого отношения к государственным программам поддержки.

Эксперты напоминают: любые реальные меры поддержки следует проверять только через официальные ресурсы органов власти. Также стоит внимательно смотреть на адрес сайта. Фишинговые страницы часто используют похожие домены с лишними символами, заменой букв или незначительными опечатками.

По данным Solar AURA, число фишинговых сайтов среди клиентов компании по итогам 2025 года выросло в полтора раза. В числе самых популярных приманок остаются поддельные маркетплейсы, инвестиционные платформы, государственные сервисы и банковские ресурсы.

Теперь к этому списку добавились ещё и бесплатные талоны на бензин. Как показывает практика, если в интернете предлагают 100 литров топлива просто за заполнение анкеты, заправиться в итоге может только мошенник — за чужой счёт.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!