近日，惡意軟件系列 CypherRAT 和 CraxsRAT 的創(chuàng)建者曝光，是一位名為 EVLF 的敘利亞威脅行為者。

網(wǎng)絡(luò)安全公司Cyfirma在上周發(fā)布的一份報告中提到：這些RAT旨在允許攻擊者遠(yuǎn)程執(zhí)行實時操作，并控制受害者設(shè)備的攝像頭、位置和麥克風(fēng)。

據(jù)說，CypherRAT 和 CraxsRAT 會作為惡意軟件即服務(wù)（MaaS）計劃的一部分提供給其他網(wǎng)絡(luò)犯罪分子。在過去的三年里，有多達(dá) 100 名獨特的威脅行為者以終身許可的方式購買了這兩個工具。

根據(jù)調(diào)查，EVLF 至少從 2022 年 9 月開始就一直在經(jīng)營一家網(wǎng)店，并為其創(chuàng)建的惡意軟件打廣告。

CraxsRAT 號稱是一款安卓特洛伊木馬程序，能讓威脅者從 Windows 計算機(jī)遠(yuǎn)程控制受感染的設(shè)備，開發(fā)者會根據(jù)客戶的反饋不斷發(fā)布新的更新版本供使用。

惡意軟件包是通過一個生成器生成的，該生成器提供了自定義和混淆有效載荷、選擇圖標(biāo)、應(yīng)用程序名稱以及安裝到智能手機(jī)后需要激活的功能和權(quán)限等選項。

Cyfirma解釋說：CraxsRAT是當(dāng)前安卓威脅中最危險的RAT之一，它具有谷歌播放保護(hù)繞過、實時屏幕視圖以及用于執(zhí)行命令的外殼等強(qiáng)大功能。

超級Mod功能使該應(yīng)用程序更加致命，讓受害者難以卸載該應(yīng)用程序，每當(dāng)受害者試圖卸載時，頁面就會崩潰。

該安卓惡意軟件要求受害者授予其訪問安卓服務(wù)的權(quán)限，以獲取大量對網(wǎng)絡(luò)犯罪分子有價值的信息，包括通話記錄、聯(lián)系人、外部存儲、位置和短信等。

據(jù)觀察，EVLF 運營著一個名為 "EVLF Devz "的 Telegram 頻道，該頻道創(chuàng)建于 2022 年 2 月 17 日。截至發(fā)稿時，該頻道已有 10,678 名用戶。

在 GitHub 上搜索 CraxsRAT，會出現(xiàn)大量該惡意軟件的破解版本，不過在過去幾天里，微軟似乎已經(jīng)刪除了其中一些版本。不過，EVLF 的 GitHub 賬戶仍然活躍在代碼托管服務(wù)上。

2023 年 8 月 23 日，EVLF在該頻道發(fā)布消息稱他們將暫停該項目。

EVLF 在帖子中說：由于生活所迫，后續(xù)他將停止開發(fā)和發(fā)布。但是客戶無需擔(dān)心，在他離開之前會為用戶發(fā)布幾個補(bǔ)丁以供其后續(xù)使用。