Descomptes multi-llicència
Threat Database Remote Administration Tools RATA daltònica

RATA daltònica

El Mezo el Remote Administration Tools, Malware
Traduir a:
Català

Els investigadors de ciberseguretat han descobert un paquet Python amenaçador penjat a l'índex de paquets Python (PyPI), que conté un robatori d'informació nociu i un troià d'accés remot (RAT). El paquet es va anomenar "colourfool" i va ser identificat per un equip d'investigació de seguretat, que va anomenar la pròpia amenaça de programari maliciós "daltonista".

Aquest incident posa de manifest la tendència creixent de la ciberdelinqüència democratitzada, on els actors malintencionats poden accedir fàcilment i reutilitzar el codi existent per a les seves pròpies intencions. Els investigadors van explicar que la democratització del crim en línia podria conduir a un panorama d'amenaces intensificat, ja que els atacants poden crear múltiples variants del seu programari maliciós aprofitant el codi d'altres persones.

Igual que altres mòduls de Python canalla recents, Color-Blind utilitza una tècnica per ocultar el seu codi dolent a l'script de configuració. Aleshores, l'script de configuració apunta a una càrrega útil d'arxiu ZIP allotjada a la plataforma legítima de Discord. Això permet que el programari maliciós eludi la detecció mitjançant algunes mesures de seguretat tradicionals, cosa que fa que sigui més difícil de detectar i eliminar.

La rata daltònica porta el codi per al joc de la "serp".

El programari maliciós utilitza un mecanisme de persistència que implica afegir un script de Visual Basic (VB) anomenat "Essentials". vbs' a la carpeta 'Inici' al 'Menú Inici' de l'usuari. En iniciar la sessió, l'script VB executa un fitxer per lots de Windows que el programari maliciós injecta a la mateixa carpeta que "python.exe". Aquest fitxer per lots inicia el programari maliciós amb Python cada vegada que l'usuari inicia sessió, assegurant-se que el programari maliciós roman actiu i present al sistema.

El programari maliciós té una funció d'exfiltració de fitxers que aprofita 'transfer[.]sh', un lloc web de transferència de fitxers anònim que és cada cop més popular entre els actors d'amenaça. El programari maliciós també conté codi relacionat amb l'enginyeria social, que genera un missatge d'error que intenta persuadir l'usuari perquè torni a executar el programari maliciós com a administrador. A més, el programari maliciós conté una versió incrustada del joc "Snake" que sembla ser una còpia directa del codi d'un dipòsit de GitHub. Tanmateix, aquest joc no té cap propòsit aparent i no s'inicia quan s'executa.

El programari maliciós activa diversos subprocessos, que inclouen fils per recollir galetes, contrasenyes i carteres de criptomoneda. Per habilitar el control remot, el programari maliciós inicia una aplicació web de Flask. L'amenaça fa que l'aplicació sigui accessible a Internet mitjançant la utilitat de túnel invers de Cloudflare anomenada "cloudflared". Mitjançant aquest mètode, el programari maliciós pot evitar qualsevol regla del tallafoc entrant i mantenir una presència persistent al sistema compromès.

El conjunt expansiu de capacitats amenaçadores que es troben a la RAT daltònica

El Color-Bind RAT i les seves diverses funcionalitats nocives es poden controlar mitjançant l'aplicació web. La funció de fitxes pot abocar fitxes d'inici de sessió per a diverses aplicacions que utilitzen chromium mitjançant electron.io o chromium directament com a marc d'aplicació, que inclou Discord. La funció de contrasenyes aboca les contrasenyes extretes dels navegadors web a la pantalla, mentre que la funció de galetes aboca totes les galetes del navegador a la pantalla. La funció de tecles aboca les dades capturades als registradors de tecles i les mostren a la pantalla.

Entre les capacitats de la RAT també hi ha la funció d'aplicacions, que proporciona una llista de les aplicacions actives actualment i un botó per finalitzar-les. La funció d'abocament de dades envia totes les dades capturades a l'URL C2. La funció de pantalla mostra una captura de pantalla de l'escriptori de l'usuari i permet una interacció rudimentària, com ara pressions de tecles. L'amenaça també pot buscar informació IP i mostrar-la a la pantalla mitjançant una funció diferent. Pot obrir un navegador a una pàgina web determinada i executar ordres mitjançant el sistema operatiu. La informació de la cartera de criptomoneda es pot recollir des del dispositiu trencat mitjançant la funció fantasma/Metamask.

Tanmateix, el daltonisme RAT pot realitzar encara més accions sobre els sistemes infectats, com ara utilitzar el punt final /camera per espiar un usuari desprevingut mitjançant una càmera web. També hi ha diversos punts finals que comencen per "hvnc", que s'ocupen d'un escriptori ocult creat a la màquina de la víctima. La funció /hvncmanager permet iniciar un navegador web en aquest escriptori ocult. La funció /hvnc s'utilitza per obrir l'escriptori ocult i permet als actors de l'amenaça interactuar amb ell. La capacitat d'obrir un navegador web d'una manera tan oculta pot ser explotada pels actors de l'amenaça per accedir o interactuar amb els comptes d'Internet de la víctima. La funció /hvncitem permet als atacants executar ordres personalitzades a l'escriptori ocult mitjançant la manipulació del paràmetre URL "inici".

Tendència

Més vist

Carregant...