Pesquisadores de segurança cibernética revelaram uma nova campanha de malware que utiliza um “loader” chamado PureCrypter para distribuir o trojan de acesso remoto (RAT) DarkVision. A atividade foi observada em julho de 2024 pela equipe Zscaler ThreatLabz e envolve um processo em várias etapas para entregar o payload do RAT. O DarkVision RAT se comunica com seu servidor de comando e controle (C2) por meio de um protocolo de rede personalizado via sockets. O malware oferece uma ampla gama de comandos e plugins que habilitam funcionalidades adicionais, como captura de teclas (keylogging), acesso remoto, roubo de senhas, gravação de áudio e capturas de tela.

O PureCrypter, inicialmente divulgado em 2022, é um loader disponível comercialmente por assinatura, permitindo que seus usuários distribuam diferentes tipos de malware, como stealers de informações, RATs e ransomware. Embora o vetor exato de acesso inicial para entregar o PureCrypter e o DarkVision RAT não seja claro, a cadeia de ataque começa com um executável .NET que descriptografa e executa o Donut loader, responsável por carregar o PureCrypter. Em seguida, o DarkVision é extraído e iniciado, com mecanismos de persistência sendo configurados, além de adicionar exceções ao Microsoft Defender Antivirus para os caminhos de arquivo e processos usados pelo RAT.

O DarkVision RAT, lançado pela primeira vez em 2020, está à venda na internet por cerca de US$ 60, tornando-o atraente para cibercriminosos e iniciantes que desejam realizar seus próprios ataques sem a necessidade de conhecimentos técnicos avançados. Desenvolvido em C++ e assembly para garantir alto desempenho, o RAT oferece recursos como injeção de processos, shell remoto, proxy reverso, manipulação da área de transferência, captura de teclas, recuperação de senhas e cookies de navegadores, além de captura de telas.