Multilicenční slevy
Threat Database Remote Administration Tools PY#RATION RAT

PY#RATION RAT

V roce Mezo v roce Remote Administration Tools
Přeložit do:
Čeština

Ve volné přírodě byla zachycena nová útočná kampaň. Hrozivá operace využívá nový malware založený na Pythonu nazvaný PY#RATION RAT. Jako obvykle u těchto trojských koní pro vzdálený přístup (RAT) má PY#RATION komplexní sadu škodlivých funkcí, včetně exfiltrace dat a keyloggingu. Co dělá tuto hrozbu obzvláště jedinečnou, je její použití WebSockets pro komunikaci a exfiltraci Command-and-Control (C2, C&C) a také její schopnost vyhnout se detekci antimalwarovými řešeními a opatřeními pro zabezpečení sítě.

Podrobnosti o PY#RATION RAT byly odhaleny ve zprávě výzkumníků kybernetické bezpečnosti. Podle jejich zjištění se kyberzločinci za hrozbou zaměřují především na cíle ve Spojeném království nebo Severní Americe, soudě podle phishingových návnad použitých v rámci útoku.

Útočný řetězec PY#RATION

Útok začíná podvodným phishingovým e-mailem obsahujícím archiv ZIP. Uvnitř archivu jsou dva soubory zástupců (.LNK), které představují přední a zadní obrázky údajně pravého britského řidičského průkazu. Po otevření každého z těchto souborů .LNK jsou ze vzdáleného serveru načteny dva textové soubory a poté uloženy jako soubory .BAT.

Zatímco se oběti zobrazují obrázky návnady, škodlivé soubory se spouštějí tiše na pozadí systému. Kromě toho se ze serveru C2 stáhne další dávkový skript, který získá další užitečné zatížení, včetně binárního souboru Pythonu s názvem 'CortanaAssistance.exe.' Použití Cortany, virtuální asistentky Microsoftu, naznačuje, že se útočníci mohli pokusit zamaskovat svůj poškozený kód jako legitimní systémový soubor.

Škodlivé schopnosti PY#RATION RAT

Byly zjištěny dvě verze trojského koně PY#RATION (verze 1.0 a 1.6). Novější verze obsahuje téměř 1000 řádků dodatečného kódu, který přidává funkce síťového skenování pro zkoumání ohrožených sítí a šifrovací vrstvu nad kódem Python pomocí modulu fernet. Kromě toho může hrozba přenášet soubory z napadeného hostitele na jeho server C2 a naopak.

RAT může začít zaznamenávat stisky kláves, provádět systémové příkazy, extrahovat hesla a soubory cookie z webových prohlížečů, zachycovat data ze schránky a detekovat přítomnost bezpečnostního softwaru. Aktéři hrozeb mohou využít PY#RATION jako bránu pro nasazení datových částí jiných hrozeb, jako je například další kradač informací založený na Pythonu, který byl explicitně vytvořen pro sběr dat z webových prohlížečů a kryptoměnových peněženek.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...