FalseXmrigRAT
UPX 包装的 PE32 RAT 伪装成 xmrig 加密矿工(.elf 扩展名假)。 NtUnmapViewOfSection 过程镂空。 AVICAP32 网络摄像头捕获。 GDI+ 屏幕截图。 FtpPutFileA FTP 数据泄露。 URLDownloadToFile第二阶段下载。 ShellExecuteA CMD 执行。
威胁档案
类型
RAT
编程语言C/C++
C2协议FTP/HTTP
首次发现2024
目标
Kuresel
用途 / 能力
- Remote Access/Stealer/Webcam/Screenshot
尚未发现该家族的 C2 服务器。
研究报告 (1)
FalseXmrigRAT f38504f5 -- NtUnmapViewOfSection Process Hollowing AVICAP32 Webcam GdipFree Screenshot FtpPutFileA FTP Exfil URLDownloadToFileA UPX Packed xmrig Kimligiyle Taklitci | Yuksek
FalseXmrigRAT f38504f5 UPX PE32 x86 355KB. NtUnmapViewOfSection process hollowing. AVICAP32 webcam. GdipFree screenshot. FtpPutFileA FTP exfil. URLDownloadToFile. xmrig madenci taklidi.
阅读报告 →