Multilicenčné zľavy
Threat Database Remote Administration Tools PY#RATION RAT

PY#RATION RAT

Do roku Mezo v roku Remote Administration Tools
Preložiť do:
Slovenčina

Vo voľnej prírode bola zachytená nová útočná kampaň. Hrozivá operácia využíva nový malvér založený na Pythone s názvom PY#RATION RAT. Ako je to zvyčajne v prípade týchto trójskych koní so vzdialeným prístupom (RAT), PY#RATION má komplexnú sadu škodlivých schopností vrátane exfiltrácie údajov a keyloggingu. To, čo robí túto hrozbu obzvlášť jedinečnou, je použitie WebSockets na komunikáciu a exfiltráciu príkazov a riadenia (C2, C&C), ako aj jej schopnosť vyhnúť sa detekcii antimalvérovými riešeniami a opatreniami zabezpečenia siete.

Podrobnosti o PY#RATION RAT boli odhalené v správe výskumníkov v oblasti kybernetickej bezpečnosti. Podľa ich zistení sa kybernetickí zločinci za hrozbou zameriavajú najmä na ciele v Spojenom kráľovstve alebo Severnej Amerike, súdiac podľa phishingových návnad použitých v rámci útoku.

Útočný reťazec PY#RATION

Útok začína podvodným phishingovým e-mailom obsahujúcim archív ZIP. V archíve sú dva súbory skratiek (.LNK), ktoré predstavujú predný a zadný obrázok údajne pravého britského vodičského preukazu. Po otvorení každého z týchto súborov .LNK sa zo vzdialeného servera získajú dva textové súbory, ktoré sa potom uložia ako súbory .BAT.

Zatiaľ čo sa obeti zobrazujú obrázky návnady, škodlivé súbory sa spúšťajú potichu na pozadí systému. Okrem toho sa zo servera C2 stiahne ďalší dávkový skript, ktorý získa ďalšie užitočné zaťaženia vrátane binárneho súboru Python s názvom 'CortanaAssistance.exe.' Použitie Cortany, virtuálnej asistentky spoločnosti Microsoft, naznačuje, že útočníci sa mohli pokúsiť zamaskovať svoj poškodený kód ako legitímny systémový súbor.

Škodlivé schopnosti PY#RATION RAT

Boli zistené dve verzie trójskych koní PY#RATION (verzia 1.0 a 1.6). Novšia verzia obsahuje takmer 1 000 riadkov dodatočného kódu, ktorý pridáva funkcie sieťového skenovania na preskúmanie ohrozených sietí a vrstvu šifrovania nad kódom Python pomocou modulu fernet. Okrem toho môže hrozba prenášať súbory z narušeného hostiteľa na jeho server C2 a naopak.

RAT môže začať zaznamenávať stlačenia klávesov, vykonávať systémové príkazy, extrahovať heslá a súbory cookie z webových prehliadačov, zachytávať údaje zo schránky a zisťovať prítomnosť bezpečnostného softvéru. Aktéri hrozieb môžu využiť PY#RATION ako bránu na nasadenie množstva iných hrozieb, ako je napríklad ďalší kradač informácií založený na Pythone, ktorý bol explicitne vytvorený na zber údajov z webových prehliadačov a kryptomenových peňaženiek.

Trendy

Najviac videné

Načítava...