خصومات التراخيص المتعددة
Threat Database Remote Administration Tools PY # RATION RAT

PY # RATION RAT

بواسطة Mezo في Remote Administration Tools
ترجمة الى:
العربية

تم اكتشاف حملة هجوم جديدة في البرية. تستخدم العملية المهددة برنامجًا ضارًا جديدًا قائمًا على Python يُطلق عليه اسم PY # RATION RAT. كما هو الحال عادةً مع أحصنة طروادة للوصول عن بُعد (RATs) ، تتمتع PY # RATION بمجموعة شاملة من القدرات الضارة ، بما في ذلك استخراج البيانات وتسجيل لوحة المفاتيح. ما يجعل هذا التهديد فريدًا بشكل خاص هو استخدامه WebSockets لكل من اتصالات الأوامر والتحكم (C2 ، C&C) والتسلل ، بالإضافة إلى قدرته على تجنب الاكتشاف من حلول مكافحة البرامج الضارة وإجراءات أمان الشبكة.

تم الكشف عن التفاصيل حول PY # RATION RAT في تقرير صادر عن باحثي الأمن السيبراني. وفقًا للنتائج التي توصلوا إليها ، فإن مجرمي الإنترنت الذين يقفون وراء التهديد يركزون في الغالب على أهداف في المملكة المتحدة أو أمريكا الشمالية ، بناءً على إغراءات التصيد الاحتيالي المستخدمة كجزء من الهجوم.

سلسلة هجوم PY # RATION

يبدأ الهجوم برسالة بريد إلكتروني مخادعة تحتوي على أرشيف بتنسيق ZIP. يوجد داخل الأرشيف ملفان مختصران (.LNK) ، يمثلان الصور الأمامية والخلفية لرخصة القيادة البريطانية الأصلية المفترضة. عند فتح كل ملف من ملفات .LNK هذه ، يتم استرداد ملفين نصيين من خادم بعيد ثم حفظهما كملفات BAT.

بينما يتم عرض الصور الخادعة للضحية ، يتم تنفيذ الملفات الضارة بصمت في خلفية النظام. بالإضافة إلى ذلك ، يتم تنزيل نص برمجي دفعي آخر من خادم C2 الذي يحصل على حمولات أخرى ، بما في ذلك ثنائي Python المسمى "CortanaAssistance.exe". يشير استخدام Cortana ، المساعد الظاهري لشركة Microsoft ، إلى أن المهاجمين ربما حاولوا إخفاء التعليمات البرمجية التالفة كملف نظام شرعي.

قدرات PY # RATION RAT المؤذية

تم اكتشاف نسختين من طروادة PY # RATION (الإصداران 1.0 و 1.6). يتضمن الإصدار الأحدث ما يقرب من 1000 سطر من التعليمات البرمجية الإضافية ، والتي تضيف ميزات مسح الشبكة لفحص الشبكات المعرضة للخطر وطبقة تشفير فوق كود Python باستخدام وحدة fernet. بالإضافة إلى ذلك ، يمكن للتهديد نقل الملفات من المضيف الذي تم اختراقه إلى خادم C2 الخاص به والعكس بالعكس.

يمكن أن يبدأ RAT في تسجيل ضغطات المفاتيح وتنفيذ أوامر النظام واستخراج كلمات المرور وملفات تعريف الارتباط من متصفحات الويب والتقاط بيانات الحافظة واكتشاف وجود برامج الأمان. يمكن لممثلي التهديد استخدام PY # RATION كبوابة لنشر حمولات التهديدات الأخرى ، مثل سارق معلومات آخر قائم على Python تم إنشاؤه بشكل صريح لجمع البيانات من متصفحات الويب ومحافظ العملات المشفرة.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,882
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...