Barvoslepý RAT

Výzkumníci v oblasti kybernetické bezpečnosti odhalili hrozivý balíček Python nahraný do indexu Python Package Index (PyPI), který obsahuje zloděje škodlivých informací a Trojan vzdáleného přístupu (RAT). Balíček byl pojmenován 'colorfool' a byl identifikován týmem bezpečnostního výzkumu, který samotnou hrozbu malwaru pojmenoval 'Colour-Blind'.

Tento incident poukazuje na rostoucí trend demokratizované kybernetické kriminality, kdy špatně smýšlející aktéři mohou snadno získat přístup ke stávajícímu kódu a změnit jeho účel pro své vlastní záměry. Výzkumníci vysvětlili, že demokratizace online zločinu by mohla vést k zesílení hrozeb, protože útočníci mohou vytvářet různé varianty svého malwaru využitím kódu pocházejícího od jiných.

Stejně jako ostatní nedávné nepoctivé moduly Pythonu, i Colour-Blind používá techniku ke skrytí špatného kódu v instalačním skriptu. Instalační skript pak ukazuje na užitečné zatížení archivu ZIP, který je hostován na legitimní platformě Discord. To umožňuje malwaru vyhnout se detekci některými tradičními bezpečnostními opatřeními, což ztěžuje detekci a odstranění.

Barvoslepá krysa nese kód pro hru „Had“.

Malware využívá mechanismus persistence, který zahrnuje přidání skriptu Visual Basic (VB) s názvem „Essentials“. vbs' do složky 'Start Up' v uživatelské 'Nabídce Start'. Po přihlášení skript VB spustí dávkový soubor Windows, který malware vloží do stejné složky jako 'python.exe'. Tento dávkový soubor spouští malware pomocí Pythonu pokaždé, když se uživatel přihlásí, což zajišťuje, že malware zůstane aktivní a přítomen v systému.

Malware má funkci exfiltrace souborů, která využívá „transfer[.]sh“, anonymní web pro přenos souborů, který je mezi aktéry hrozeb stále oblíbenější. Malware také obsahuje kód související se sociálním inženýrstvím, který generuje chybovou zprávu, která se pokouší přesvědčit uživatele, aby jako správce znovu spustil malware. Malware navíc obsahuje vestavěnou verzi hry „Snake“, která se zdá být přímou kopií kódu z úložiště GitHub. Tato hra však neslouží žádnému zjevnému účelu a po spuštění se nespustí.

Malware spouští několik dílčích procesů, které zahrnují vlákna pro shromažďování souborů cookie, hesel a kryptoměnových peněženek. Chcete-li povolit vzdálené ovládání, malware spustí webovou aplikaci Flask. Hrozba pak zpřístupní aplikaci k internetu prostřednictvím nástroje Cloudflare pro zpětný tunel s názvem „cloudflared“. Pomocí této metody může malware obejít všechna příchozí pravidla brány firewall a udržovat trvalou přítomnost v napadeném systému.

Rozsáhlá sada hrozivých schopností nalezená v barvoslepé kryse

Colour-BLind RAT a jeho různé škodlivé funkce lze ovládat prostřednictvím webové aplikace. Funkce tokenů může vypsat přihlašovací tokeny pro několik aplikací, které používají chrom přes electron.io nebo chromium přímo jako aplikační framework, který zahrnuje Discord. Funkce hesel vypíše extrahovaná hesla z webových prohlížečů na obrazovku, zatímco funkce cookies vypíše všechny soubory cookie prohlížeče na obrazovku. Funkce kláves vypíše zachycená data do keyloggerů a zobrazí je na obrazovce.

Mezi schopnosti RAT patří také funkce aplikací, která poskytuje seznam aktuálně aktivních aplikací a tlačítko pro jejich ukončení. Funkce výpisu dat odesílá všechna zachycená data na adresu URL C2. Funkce obrazovky zobrazuje snímek obrazovky pracovní plochy uživatele a umožňuje základní interakci, jako je stisknutí kláves. Hrozba může také vyhledat informace o IP a zobrazit je na obrazovce pomocí jiné funkce. Může otevřít prohlížeč na dané webové stránce a spouštět příkazy prostřednictvím operačního systému. Informace o kryptoměnové peněžence lze získat z narušeného zařízení pomocí funkce fantom/metamask.

Colour-Blind RAT však může na infikovaných systémech provádět ještě více akcí, jako je použití koncového bodu /camera ke špehování nic netušícího uživatele prostřednictvím webové kamery. Existují také různé koncové body začínající na 'hvnc', které se zabývají skrytou plochou vytvořenou na počítači oběti. Funkce /hvncmanager umožňuje spuštění webového prohlížeče na této skryté ploše. Funkce /hvnc se používá k otevření skryté plochy a umožňuje aktérům hrozeb s ní interagovat. Schopnost otevřít webový prohlížeč takovým skrytým způsobem mohou aktéři hrozby zneužít k přístupu nebo interakci s internetovými účty oběti. Funkce /hvncitem umožňuje útočníkům spouštět vlastní příkazy na skryté ploše prostřednictvím manipulace s parametrem URL 'start'.