För ungefär priset av en kopp Starbucks latte hyr en hackare ut en trojan för fjärråtkomst som är utformad för bakdörrar för riktade nätverk.

Dubbad som Dark Crystal RAT (eller DCRat), skadlig programvara säljs online till hackare på ryska av en ensam nybörjarskribent om skadlig programvara med en förkärlek för lågprissättning.

“DCRat är en av de billigaste kommersiella RAT:erna vi någonsin stött på. Priset för denna bakdörr börjar på ($6) för en tvåmånadersprenumeration, och sjunker ibland ännu lägre under speciella kampanjer", enligt BlackBerry-forskare som publicerade sina resultat i måndags.

BlackBerry sa att försäljningen av budget RAT underlättas av cyberbrottslingen som går under namnet "boldenis44" eller "crystalcoder".

Möjligheterna hos RAT inkluderar en "stjäl-/klientkörbar", en enda PHP-sida, som fungerar som kommando-och-kontroll-slutpunkt och ett administratörsverktyg.

En uppdelning av DCRat

DCRat är på vissa sätt amatörmässigt, hävdar forskare. "Det finns säkerligen programmeringsval i detta hot som pekar på att detta är en nybörjare som skadlig programvara", skrev de.

"Administratörsverktyget är en fristående körbar skriven i programmeringsspråket JPHP, en obskyr implementering av PHP som körs på en virtuell Java-maskin", skrev BlackBerry.

JPHP, noterade de, är ett lättanvänt språk som riktar sig till nybörjare utvecklare av skrivbordsspel. "Skadvaruförfattaren kan ha valt det här formatet för att det inte är särskilt välkänt, eller så kan de ha saknat programmeringskunskaper på andra, mer vanliga språk."

I en annan udda egenhet, noterar forskare, är skadlig programvara "implementerat en funktion som visar ett slumpmässigt genererat antal "servrar som arbetar" och "användare online" som är tänkta att visas som statistik i bakgrunden av administratörsverktyget. Det kan vara att de försöker få sitt verktyg att verka mer populärt, eller att de helt enkelt inte visste hur man implementerar en korrekt räknare och har använt en pseudo-räknare under tiden som platshållare.”

Men i de flesta avseenden slår DCRat långt över sin vikt.

Tillsammans med stjälaren, kommando-och-kontroll-gränssnittet och administratörsverktyget är skadlig programvara mycket anpassningsbar, vilket visar en högre nivå av sofistikerade försök. Den modulära arkitekturen tillåter RAT-kunder att skapa och dela sina egna plugins.

"DCRats modulära arkitektur och skräddarsydda plugin-ramverk gör det till ett mycket flexibelt alternativ," skrev forskarna, "till hjälp för en rad smutsiga användningsområden. Detta inkluderar övervakning, spaning, informationsstöld, DDoS-attacker, såväl som dynamisk kodexekvering på en mängd olika språk.”

Anpassning förhindrar DCRat från att bli unken, även efter tre år. Det, och den ständiga omsorg och uppmärksamhet dess författare ger det. “Administratörsverktyget och bakdörren/klienten uppdateras regelbundet med buggfixar och nya funktioner; detsamma gäller officiellt släppta plugins.” Forskarna noterade ett särskilt fall 2020, när Mandiant publicerade en djupgående titt på DCRat-klienten. "Bara dagar efter att den här rapporten släpptes," för att bekämpa den oönskade uppmärksamheten, "skiftade författaren av skadlig programvara distributionen av RAT till en ny domän."

Är DCRat en outlier eller ett omen?

Nuvarande är cirka $ 7 för ett två månaders hyresavtal. För ett år, $33 och för en livstidsprenumeration $63.

Forskare spekulerar att det låga priset beror på att brottslingarna bakom skadlig programvara bara letar efter uppmärksamhet. "Det kan vara så att de helt enkelt kastar ett brett nät," teoretiserade forskarna, "försöker få lite pengar från många illvilligt sinnade människor. Det kan också vara så att de har en alternativ finansieringskälla, eller så är det här ett passionsprojekt snarare än deras huvudsakliga inkomstkälla.”

Det återstår att se om DCRat kommer att vara en outlier på cyberbrottsforum, eller ett nytt prejudikat. Konsekvenserna kan bli betydande. Om effektiv skadlig programvara är lika billig som en kopp kaffe, hur många fler människor kan lockas att testa det? Och hur mycket mer kapabel kan deras attacker vara?

"De största, flashigaste hotgrupperna kan få sitt namn i ljuset", avslutade forskarna, "men de är inte nödvändigtvis de cyberbrottslingar som håller säkerhetsutövare vaken på natten."