Farveblind RATTE

Cybersikkerhedsforskere har afsløret en truende Python-pakke, der er uploadet til Python Package Index (PyPI), indeholdende en skadelig informationstyver og Remote Access Trojan (RAT). Pakken fik navnet 'colourfool' og blev identificeret af et sikkerhedsforskningshold, som kaldte selve malwaretruslen 'Colour-Blind'.

Denne hændelse fremhæver den voksende tendens til demokratiseret cyberkriminalitet, hvor dårligt sindede aktører nemt kan få adgang til og genbruge eksisterende kode til deres egne hensigter. Forskerne forklarede, at demokratiseringen af online-kriminalitet kunne føre til et intensiveret trusselslandskab, da angribere kan skabe flere varianter af deres malware ved at udnytte kode fra andre.

Som andre nylige slyngelstater Python-moduler bruger Colour-Blind en teknik til at skjule sin dårlige kode i opsætningsscriptet. Opsætningsscriptet peger derefter på en ZIP-arkiv-nyttelast, der er hostet på den legitime Discord-platform. Dette gør det muligt for malwaren at undgå opdagelse ved hjælp af nogle traditionelle sikkerhedsforanstaltninger, hvilket gør det sværere at opdage og fjerne.

Den farveblinde RAT bærer koden til 'Snake'-spillet

Malwaren bruger en persistensmekanisme, der involverer tilføjelse af et Visual Basic (VB) script ved navn 'Essentials. vbs' til mappen 'Start Up' i brugerens 'Start Menu'. Ved login udfører VB-scriptet en Windows-batchfil, som malwaren indsætter i samme mappe som 'python.exe'. Denne batchfil starter malwaren ved hjælp af Python, hver gang brugeren logger på, hvilket sikrer, at malwaren forbliver aktiv og til stede på systemet.

Malwaren har en fileksfiltreringsfunktion, der udnytter 'transfer[.]sh', et anonymt filoverførselswebsted, der er stadig mere populært blandt trusselsaktører. Malwaren indeholder også kode relateret til social engineering, som genererer en fejlmeddelelse, der forsøger at overtale brugeren til at køre malwaren igen som administrator. Derudover indeholder malwaren en indlejret version af 'Snake'-spillet, der ser ud til at være en direkte kopi af kode fra et GitHub-lager. Dette spil tjener dog ikke noget åbenlyst formål og starter ikke, når det udføres.

Malwaren udløser flere underprocesser, som inkluderer tråde til indsamling af cookies, adgangskoder og cryptocurrency-punge. For at aktivere fjernstyring starter malwaren en Flask-webapplikation. Truslen gør derefter applikationen tilgængelig på internettet via Cloudflares omvendte tunnelværktøj kaldet 'cloudflared'. Ved at bruge denne metode kan malwaren omgå alle indgående firewallregler og opretholde en vedvarende tilstedeværelse på det kompromitterede system.

Det omfattende sæt af truende egenskaber, der findes i den farveblinde RAT

Colour-BLind RAT og dens forskellige skadelige funktioner kan styres via webapplikationen. Tokens-funktionen kan dumpe login-tokens til flere applikationer, der bruger chrom via electron.io eller chromium direkte som en applikationsramme, som inkluderer Discord. Adgangskodefunktionen dumper udtrukne adgangskoder fra webbrowsere til skærmen, mens cookiesfunktionen dumper alle browsercookies til skærmen. Tastefunktionen dumper opsamlede data til nøgleloggere og viser dem på skærmen.

Blandt funktionerne i RAT er også applikationsfunktionen, som giver en liste over de aktuelt aktive applikationer og en knap til at afslutte dem. Datadump-funktionen sender alle opsamlede data til C2 URL'en. Skærmfunktionen viser et skærmbillede af brugerens skrivebord og giver mulighed for rudimentær interaktion, såsom tastetryk. Truslen kan også slå IP-oplysninger op og vise dem på skærmen ved hjælp af en anden funktion. Det kan åbne en browser til en given webside og køre kommandoer via operativsystemet. Information om kryptovaluta-pung kan hentes fra den brudte enhed via fantom-/metamask-funktionen.

Colour-Blind RAT kan dog udføre endnu flere handlinger på de inficerede systemer, såsom at bruge /camera-slutpunktet til at spionere på en intetanende bruger via et webkamera. Der er også forskellige endepunkter, der starter med 'hvnc', som omhandler et skjult skrivebord, der er oprettet på offerets maskine. /hvncmanager-funktionen giver mulighed for at starte en webbrowser på dette skjulte skrivebord. /hvnc-funktionen bruges til at åbne det skjulte skrivebord, og det giver trusselsaktører mulighed for at interagere med det. Muligheden for at åbne en webbrowser på en sådan skjult måde kan udnyttes af trusselsaktørerne til at få adgang til eller interagere med ofrets internetkonti. /hvncitem-funktionen gør det muligt for angriberne at udføre brugerdefinerede kommandoer på det skjulte skrivebord via manipulation af URL-parameteren 'start'.