PY#RATION RAT

S'ha capturat una nova campanya d'atac en estat salvatge. L'operació amenaçadora utilitza un nou programari maliciós basat en Python anomenat PY#RATION RAT. Com sol ser el cas d'aquests troians d'accés remot (RAT), PY#RATION té un conjunt complet de capacitats perjudicials, com ara l'exfiltració de dades i el registre de tecles. El que fa que aquesta amenaça sigui particularment única és el seu ús de WebSockets tant per a la comunicació com per a l'exfiltració de comandament i control (C2, C&C), així com la seva capacitat per evadir la detecció de solucions anti-malware i mesures de seguretat de xarxa.

Els detalls sobre el PY#RATION RAT s'han revelat en un informe d'investigadors de ciberseguretat. Segons les seves troballes, els cibercriminals darrere de l'amenaça se centren principalment en objectius al Regne Unit o Amèrica del Nord, a jutjar pels esquers de pesca utilitzats com a part de l'atac.

La cadena d'atac de PY#RATION

L'atac comença amb un correu electrònic de pesca enganyós que conté un arxiu ZIP. Dins de l'arxiu hi ha dos fitxers de dreceres (.LNK), que es presenten com a imatges frontals i posteriors d'un permís de conduir suposadament genuí del Regne Unit. En obrir cadascun d'aquests fitxers .LNK, es recuperen dos fitxers de text d'un servidor remot i després es guarden com a fitxers .BAT.

Mentre a la víctima se'ls mostren les imatges d'engany, els fitxers nocius s'executen en silenci en el fons del sistema. A més, es baixa un altre script per lots del servidor C2 que obté altres càrregues útils, inclòs un binari de Python anomenat "CortanaAssistance.exe". L'ús de Cortana, l'assistent virtual de Microsoft, implica que els atacants poden haver intentat dissimular el seu codi corrupte com a fitxer legítim del sistema.

Capacitats perjudicials de PY#RATION RAT

S'han detectat dues versions de troians PY#RATION (versió 1.0 i 1.6). La versió més recent inclou prop de 1.000 línies de codi addicional, que afegeix funcions d'escaneig de xarxa per examinar xarxes compromeses i una capa de xifratge sobre el codi Python mitjançant el mòdul fernet. A més, l'amenaça pot transferir fitxers de l'amfitrió violat al seu servidor C2 i al revés.

El RAT pot començar a registrar les pulsacions de tecles, executar ordres del sistema, extreure contrasenyes i galetes dels navegadors web, capturar dades del porta-retalls i detectar la presència de programari de seguretat. Els actors de l'amenaça poden utilitzar PY#RATION com a porta d'entrada per desplegar les càrregues útils d'altres amenaces, com ara un altre robatori d'informació basat en Python creat explícitament per recollir dades dels navegadors web i carteres de criptomoneda.