PY#ДАЖБА ПЛЪХ

Нова нападателна кампания е уловена в дивата природа. Заплашителната операция използва нов злонамерен софтуер, базиран на Python, наречен PY#RATION RAT. Както обикновено се случва с тези троянски коне за отдалечен достъп (RAT), PY#RATION има изчерпателен набор от вредни възможности, включително кражба на данни и записване на клавиатури. Това, което прави тази заплаха особено уникална, е нейното използване на WebSockets както за командване и контрол (C2, C&C) комуникация и ексфилтрация, така и способността й да избягва откриването от анти-зловреден софтуер решения и мерки за мрежова сигурност.

Подробностите за PY#RATION RAT бяха разкрити в доклад на изследователи по киберсигурност. Според техните открития киберпрестъпниците зад заплахата са фокусирани предимно върху цели в Обединеното кралство или Северна Америка, съдейки по фишинг примамките, използвани като част от атаката.

Веригата на атака на PY#RATION

Атаката започва с измамен фишинг имейл, съдържащ ZIP архив. Вътре в архива има два файла с преки пътища (.LNK), представляващи предни и задни изображения на предполагаемо оригинална шофьорска книжка в Обединеното кралство. При отваряне на всеки от тези .LNK файлове, два текстови файла се извличат от отдалечен сървър и след това се записват като .BAT файлове.

Докато на жертвата се показват изображенията-примамки, вредните файлове се изпълняват тихо във фонов режим на системата. Освен това се изтегля друг партиден скрипт от сървъра C2, който получава други полезни натоварвания, включително двоичен файл на Python, наречен „CortanaAssistance.exe“. Използването на Cortana, виртуалния асистент на Microsoft, предполага, че нападателите може да са се опитали да прикрият повредения си код като легитимен системен файл.

Нараняващите способности на PY#RATION RAT

Открити са две версии на троянски кон PY#RATION (версия 1.0 и 1.6). По-новата версия включва почти 1000 реда допълнителен код, който добавя функции за мрежово сканиране за изследване на компрометирани мрежи и слой за криптиране върху кода на Python, използвайки модула fernet. В допълнение, заплахата може да прехвърля файлове от пробития хост към неговия C2 сървър и обратно.

RAT може да започне да записва натискания на клавиши, да изпълнява системни команди, да извлича пароли и бисквитки от уеб браузъри, да улавя данни от клипборда и да открива наличието на софтуер за сигурност. Актьорите на заплахите могат да използват PY#RATION като шлюз за внедряване на полезния товар на други заплахи, като друг базиран на Python крадец на информация, изрично създаден за събиране на данни от уеб браузъри и портфейли за криптовалута.

Тенденция

Най-гледан

Зареждане...