FalseXmrigRAT

UPX 包装的 PE32 RAT 伪装成 xmrig 加密矿工(.elf 扩展名假)。 NtUnmapViewOfSection 过程镂空。 AVICAP32 网络摄像头捕获。 GDI+ 屏幕截图。 FtpPutFileA FTP 数据泄露。 URLDownloadToFile第二阶段下载。 ShellExecuteA CMD 执行。

威胁档案
类型 RAT
编程语言C/C++
C2协议FTP/HTTP
首次发现2024
目标 Kuresel
用途 / 能力
  • Remote Access/Stealer/Webcam/Screenshot
尚未发现该家族的 C2 服务器。

研究报告 (1)

FalseXmrigRAT f38504f5 -- NtUnmapViewOfSection Process Hollowing AVICAP32 Webcam GdipFree Screenshot FtpPutFileA FTP Exfil URLDownloadToFileA UPX Packed xmrig Kimligiyle Taklitci | Yuksek

FalseXmrigRAT f38504f5 UPX PE32 x86 355KB. NtUnmapViewOfSection process hollowing. AVICAP32 webcam. GdipFree screenshot. FtpPutFileA FTP exfil. URLDownloadToFile. xmrig madenci taklidi.

阅读报告 →