Отстъпки за множество лицензи
Threat Database Remote Administration Tools Далтонист RAT

Далтонист RAT

До Mezo през Remote Administration Tools, Malwareг
Превод на:
български език

Изследователите на киберсигурността откриха заплашителен пакет на Python, качен в индекса на пакетите на Python (PyPI), съдържащ вреден крадец на информация и троянски кон за отдалечен достъп (RAT). Пакетът беше наречен „colourfool“ и беше идентифициран от екип за изследване на сигурността, който нарече самата заплаха от зловреден софтуер „Colour-Blind“.

Този инцидент подчертава нарастващата тенденция на демократизирана киберпрестъпност, при която злонамерени участници могат лесно да получат достъп и да пренасочат съществуващия код за собствените си намерения. Изследователите обясниха, че демократизацията на онлайн престъпността може да доведе до засилване на заплахите, тъй като нападателите могат да създадат множество варианти на своя зловреден софтуер, като използват код, получен от други.

Подобно на други скорошни измамни модули на Python, Colour-Blind използва техника, за да прикрие своя лош код в скрипта за настройка. След това скриптът за настройка насочва към ZIP архивен полезен товар, който се хоства на легитимната платформа Discord. Това позволява на злонамерения софтуер да избегне откриването от някои традиционни мерки за сигурност, което го прави по-труден за откриване и премахване.

Далтонистият ПЛЪХ носи кода за играта „Змия“.

Зловредният софтуер използва механизъм за устойчивост, който включва добавяне на скрипт на Visual Basic (VB), наречен „Essentials. vbs" в папката "Стартиране" в менюто "Старт" на потребителя. При влизане VB скриптът изпълнява пакетен файл на Windows, който злонамереният софтуер инжектира в същата папка като „python.exe“. Този пакетен файл стартира злонамерения софтуер с помощта на Python всеки път, когато потребителят влезе, като гарантира, че зловредният софтуер остава активен и присъства в системата.

Злонамереният софтуер има функция за ексфилтриране на файлове, която използва „transfer[.]sh“, анонимен уебсайт за прехвърляне на файлове, който става все по-популярен сред заплахите. Злонамереният софтуер също така съдържа код, свързан със социалното инженерство, което генерира съобщение за грешка, което се опитва да убеди потребителя да стартира отново зловреден софтуер като администратор. Освен това злонамереният софтуер съдържа вградена версия на играта „Snake“, която изглежда е директно копие на код от хранилище на GitHub. Тази игра обаче не служи на никаква очевидна цел и не стартира при изпълнение.

Зловреден софтуер задейства множество подпроцеси, които включват нишки за събиране на бисквитки, пароли и портфейли за криптовалута. За да активира дистанционно управление, зловредният софтуер стартира уеб приложение на Flask. След това заплахата прави приложението достъпно до интернет чрез помощната програма за обратен тунел на Cloudflare, наречена „cloudflared“. Използвайки този метод, зловредният софтуер може да заобиколи всички входящи правила на защитната стена и да поддържа постоянно присъствие в компрометираната система.

Обширният набор от заплашителни способности, открити в далтонистия RAT

Colour-BLind RAT и различните му вредни функции могат да се контролират чрез уеб приложението. Функцията за токени може да изхвърля токени за влизане за няколко приложения, които използват chromium чрез electron.io или chromium директно като рамка на приложение, което включва Discord. Функцията за пароли изхвърля извлечените пароли от уеб браузърите на екрана, докато функцията за бисквитки изхвърля всички бисквитки на браузъра на екрана. Функцията на клавишите изхвърля заснетите данни към регистраторите на ключове и ги показва на екрана.

Сред възможностите на RAT е и функцията за приложения, която предоставя списък с активните в момента приложения и бутон за прекратяването им. Функцията за изхвърляне на данни изпраща всички заснети данни към C2 URL. Функцията на екрана показва екранна снимка на работния плот на потребителя и позволява елементарно взаимодействие, като натискане на клавиши. Заплахата може също така да потърси IP информация и да я покаже на екрана с помощта на различна функция. Той може да отвори браузър към дадена уеб страница и да изпълнява команди чрез операционната система. Информацията за портфейла на криптовалута може да бъде събрана от пробитото устройство чрез функцията фантом/Метамаска.

Далтонистът RAT обаче може да извършва дори повече действия върху заразените системи, като например използване на крайната точка /camera за шпиониране на нищо неподозиращ потребител чрез уеб камера. Има и различни крайни точки, започващи с „hvnc“, които се занимават със скрит работен плот, създаден на машината на жертвата. Функцията /hvncmanager позволява стартирането на уеб браузър на този скрит работен плот. Функцията /hvnc се използва за отваряне на скрития работен плот и позволява на участниците в заплахата да взаимодействат с него. Възможността за отваряне на уеб браузър по такъв скрит начин може да бъде използвана от участниците в заплахата за достъп или взаимодействие с интернет акаунтите на жертвата. Функцията /hvncitem позволява на атакуващите да изпълняват персонализирани команди на скрития работен плот чрез манипулиране на URL параметъра 'start'.

Тенденция

Най-гледан

Зареждане...