RAT أعمى الألوان

كشف باحثو الأمن السيبراني عن حزمة Python المهددة التي تم تحميلها إلى Python Package Index (PyPI) ، تحتوي على سارق معلومات ضار و Trojan الوصول عن بعد (RAT). تم تسمية الحزمة "colourfool" وتم تحديدها بواسطة فريق بحث أمني ، والذي أطلق على تهديد البرامج الضارة نفسه "Color-Blind".

يسلط هذا الحادث الضوء على الاتجاه المتنامي للجرائم الإلكترونية التي تم إضفاء الطابع الديمقراطي عليها ، حيث يمكن للجهات الفاعلة سيئة التفكير الوصول بسهولة إلى التعليمات البرمجية الحالية وإعادة توظيفها لتحقيق نواياها الخاصة. أوضح الباحثون أن إضفاء الطابع الديمقراطي على الجريمة عبر الإنترنت يمكن أن يؤدي إلى تكثيف مشهد التهديدات ، حيث يمكن للمهاجمين إنشاء أنواع متعددة من برامجهم الضارة من خلال الاستفادة من التعليمات البرمجية التي تم الحصول عليها من الآخرين.

مثل وحدات Python المارقة الأخرى ، تستخدم Color-Blind تقنية لإخفاء التعليمات البرمجية السيئة في نص الإعداد. ثم يشير البرنامج النصي للإعداد إلى حمولة أرشيف ZIP التي تتم استضافتها على نظام Discord الأساسي الشرعي. يسمح هذا للبرامج الضارة بالتهرب من الكشف عن طريق بعض إجراءات الأمان التقليدية ، مما يجعل اكتشافها وإزالتها أكثر صعوبة.

تحمل أداة RAT للمكفوفين رمز لعبة "الأفعى"

تستخدم البرامج الضارة آلية استمرار تتضمن إضافة برنامج Visual Basic (VB) يسمى "Essentials". vbs "إلى مجلد" بدء التشغيل "في" قائمة ابدأ "للمستخدم. عند تسجيل الدخول ، يقوم البرنامج النصي VB بتنفيذ ملف دفعي لنظام التشغيل Windows يقوم البرنامج الضار بحقنه في نفس المجلد مثل "python.exe". يبدأ ملف الدُفعات هذا البرنامج الضار باستخدام Python في كل مرة يسجل فيها المستخدم الدخول ، مما يضمن بقاء البرامج الضارة نشطة وموجودة على النظام.

تحتوي البرامج الضارة على وظيفة استخراج الملفات التي تستفيد من "نقل [.] sh" ، وهو موقع ويب مجهول لنقل الملفات يزداد شيوعًا بين الجهات المهددة. تحتوي البرامج الضارة أيضًا على رمز متعلق بالهندسة الاجتماعية ، مما يؤدي إلى إنشاء رسالة خطأ تحاول إقناع المستخدم بإعادة تشغيل البرامج الضارة كمسؤول. بالإضافة إلى ذلك ، تحتوي البرامج الضارة على نسخة مضمّنة من لعبة "Snake" والتي تبدو وكأنها نسخة مباشرة من رمز من مستودع GitHub. ومع ذلك ، فإن هذه اللعبة لا تخدم أي غرض واضح ولا تبدأ عند تنفيذها.

تقوم البرامج الضارة بتشغيل العديد من العمليات الفرعية ، والتي تشمل خيوط لجمع ملفات تعريف الارتباط وكلمات المرور ومحافظ العملات المشفرة. لتمكين التحكم عن بعد ، تبدأ البرامج الضارة تطبيق Flask على الويب. ثم يجعل التهديد التطبيق متاحًا للوصول إلى الإنترنت عبر الأداة المساعدة للنفق العكسي الخاصة بـ Cloudflare والتي تسمى "cloudflared". باستخدام هذه الطريقة ، يمكن للبرامج الضارة تجاوز أي قواعد جدار حماية واردة والحفاظ على وجود دائم على النظام المخترق.

المجموعة الهائلة من قدرات التهديد الموجودة في RAT للمكفوفين الألوان

يمكن التحكم في Color-BLind RAT ووظائفه الضارة المختلفة عبر تطبيق الويب. يمكن لوظيفة الرموز المميزة تفريغ رموز تسجيل الدخول للعديد من التطبيقات التي تستخدم الكروم عبر electron.io أو الكروم مباشرةً كإطار عمل للتطبيق ، والذي يتضمن Discord. تقوم وظيفة كلمات المرور بتفريغ كلمات المرور المستخرجة من متصفحات الويب إلى الشاشة ، بينما تقوم وظيفة ملفات تعريف الارتباط بتفريغ جميع ملفات تعريف الارتباط للمتصفح على الشاشة. تقوم وظيفة المفاتيح بتفريغ البيانات الملتقطة لمسجلي المفاتيح وإظهارها على الشاشة.

من بين إمكانيات RAT أيضًا وظيفة التطبيقات ، والتي توفر قائمة بالتطبيقات النشطة حاليًا وزرًا لإنهائها. ترسل وظيفة تفريغ البيانات جميع البيانات الملتقطة إلى عنوان URL لـ C2. تعرض وظيفة الشاشة لقطة شاشة لسطح مكتب المستخدم وتسمح بالتفاعل البدائي ، مثل الضغط على المفاتيح. يمكن للتهديد أيضًا البحث عن معلومات IP وعرضها على الشاشة باستخدام وظيفة مختلفة. يمكنه فتح متصفح لصفحة ويب معينة وتشغيل الأوامر عبر نظام التشغيل. يمكن الحصول على معلومات محفظة العملة المشفرة من الجهاز الذي تم اختراقه عبر وظيفة phantom / Metamask.

ومع ذلك ، يمكن لـ Color-Blind RAT تنفيذ المزيد من الإجراءات على الأنظمة المصابة ، مثل استخدام نقطة نهاية / الكاميرا للتجسس على مستخدم غير مرتاب عبر كاميرا الويب. هناك أيضًا العديد من نقاط النهاية التي تبدأ بـ "hvnc" ، والتي تتعامل مع سطح مكتب مخفي تم إنشاؤه على جهاز الضحية. تسمح الوظيفة / hvncmanager ببدء تشغيل مستعرض الويب على سطح المكتب المخفي هذا. تُستخدم الوظيفة / hvnc لفتح سطح المكتب المخفي وتسمح لممثلي التهديد بالتفاعل معه. يمكن استغلال القدرة على فتح متصفح ويب بهذه الطريقة المخفية من قبل الجهات المهددة للوصول إلى حسابات الإنترنت الخاصة بالضحية أو التفاعل معها. تمكن وظيفة / hvncitem المهاجمين من تنفيذ أوامر مخصصة على سطح المكتب المخفي من خلال معالجة معلمة URL "بدء".