Novel KarstoRAT RAT ermöglicht Webcam-Überwachung, Audioaufzeichnung und Fernausführung von Nutzlasten

Sicherheitslage und Risiko

Die Blox Stocks Seite zielt auf jüngere Roblox-Spieler mit Versprechungen billiger In-Game-Items ab, während das Venom Files Panel FPS- und GTA-Modder mit sogenannten Premium-Game-Cheats lockt. Beide Seiten sind darauf ausgelegt, Benutzer dazu zu verleiten, die Malware herunterzuladen und auszuführen.

Dekodierte gültige VMess mit Base64-kodierter Proxy-Konfiguration (Quelle – LeverBlue) Der C2-Server betreibt eine mehrschichtige Infrastruktur über mehrere offene Ports und Dienste, darunter SSH-Tunnel, Node.js-APIs und einen VMess-Proxy, der über Cloudflare Argo WebSocket auf Port 443 mit TLS-Fingerprinting auf Firefox geroutet wird.

Dekodierte JSON-Proxy-Konfiguration (Quelle – LeverBlue) Diese verschleierte Einrichtung hilft der Malware, sich in normalen Datenverkehr einzufügen und den Zugriff in eingeschränkten Netzwerkumgebungen aufrechtzuerhalten.

Technischer Hintergrund

Überwachungs- und Payload-Ausführungsfähigkeiten Sobald KarstoRAT auf dem Gerät eines Opfers läuft, betritt es eine endlose Zwei-Sekunden-Polling-Schleife und wartet auf Befehle vom C2-Server. Die Übersicht der Probe in PEStudio zeigt, dass die ausführbare Datei eine moderate Entropie ohne angewendetes Packing aufweist.

Übersicht (Quelle – LeverBlue) Das Webcam-Modul, das durch den WEBCAM-Befehl ausgelöst wird, erstellt ein unsichtbares Capture-Fenster, verbindet sich mit dem Standard-Webcam-Treiber, erfasst einen einzelnen Standbildrahmen, speichert ihn als temporäre BMP-Datei (webcap.bmp) und lädt ihn an den Endpunkt /upload-webcam hoch, bevor es die Datei vom Laufwerk entfernt.

Es erscheint kein Fenster auf dem Bildschirm und es wird dem Opfer während des gesamten Vorgangs keine sichtbare Warnung angezeigt.

Technischer Hintergrund

Die Audioaufzeichnungsfunktion verwendet die Windows Multimedia Command Interface (MCI), um das Mikrofon des Opfers stumm zu öffnen, für eine vom Angreifer festgelegte Dauer aufzuzeichnen, das Ergebnis als temporäre WAV-Datei zu speichern und es an den Endpunkt /upload-audio hochzuladen.

Der Aufzeichnungsvorgang läuft in einem dedizierten Hintergrund-Thread und hält den Hauptprozess vollständig reaktionsfähig. Der Keylogger installiert einen Low-Level-Tastatur-Hook mithilfe Tastendruck über alle aktiven Anwendungen hinweg und sendet die Daten über HTTP POST an den Endpunkt /upload-keylog.

Fr die Persistenz verwendet KarstoRAT drei unterschiedliche Methoden: einen Windows Registry Run-Schlssel mit dem Namen SecurityService, einen geplanten Task namens SystemCheck und eine Kopie, die im Windows Startup-Ordner platziert wird.

Sicherheitslage und Risiko

Ein UAC-Bypass mittels fodhelper.exe ermglicht es der Malware, erhhte Privilegien zu erlangen, ohne dem Opfer irgendein Sicherheitsprompt anzuzeigen. Organisationen sollten umgehend die C2-IP-Adresse 212.227.65[.]132 blockieren und auf Verbindungen auf den Ports 15144 und 13614 berwachen.

Sicherheitsteams sollten Netzwerkprotokolle nach der User-Agent-Zeichenkette SecurityNotifier durchsuchen und nach Registry-Eintrgen unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService sowie nach geplanten Tasks mit dem Namen SystemCheck suchen.

Endpoint-Detection-Tools sollten so konfiguriert werden, dass sie jede Instanz HKCU-Registry-nderungen kennzeichnen. Alle Benutzer sollten vermeiden, Game-Cheats oder Trading-Tools.