PY#RATION ROTTE

En ny angrebskampagne er blevet fanget i naturen. Den truende operation bruger en ny Python-baseret malware kaldet PY#RATION RAT. Som det typisk er tilfældet med disse Remote Access Trojans (RAT'er), har PY#RATION et omfattende sæt af skadelige egenskaber, herunder dataeksfiltrering og keylogging. Det, der gør denne trussel særligt unik, er dens brug af WebSockets til både Command-and-Control (C2, C&C) kommunikation og eksfiltrering, såvel som dens evne til at undgå registrering fra anti-malware-løsninger og netværkssikkerhedsforanstaltninger.

Detaljerne om PY#RATION RAT er blevet afsløret i en rapport fra cybersikkerhedsforskere. Ifølge deres resultater er de cyberkriminelle bag truslen mest fokuseret på mål i Storbritannien eller Nordamerika, at dømme efter de phishing-lokker, der blev brugt som en del af angrebet.

Angrebskæden af PY#RATION

Angrebet begynder med en vildledende phishing-e-mail, der indeholder et ZIP-arkiv. Inde i arkivet er der to genvejsfiler (.LNK), der udgiver sig som for- og bagbilleder af et angiveligt ægte britisk kørekort. Når hver af disse .LNK-filer åbnes, hentes to tekstfiler fra en ekstern server og gemmes derefter som .BAT-filer.

Mens offeret får vist lokkebillederne, udføres de skadelige filer lydløst i systemets baggrund. Derudover downloades et andet batchscript fra C2-serveren, der henter andre nyttelaster, inklusive en Python-binær ved navn 'CortanaAssistance.exe.' Brugen af Cortana, Microsofts virtuelle assistent, indebærer, at angriberne kan have forsøgt at skjule deres korrupte kode som en legitim systemfil.

PY#RATION RAT's skadelige egenskaber

To PY#RATION trojanske versioner er blevet fundet (version 1.0 og 1.6). Den nyere version indeholder næsten 1.000 linjer ekstra kode, som tilføjer netværksscanningsfunktioner til at undersøge kompromitterede netværk og et krypteringslag over Python-koden ved hjælp af fernet-modulet. Derudover kan truslen overføre filer fra den brudte vært til dens C2-server og omvendt.

RAT kan begynde at optage tastetryk, udføre systemkommandoer, udtrække adgangskoder og cookies fra webbrowsere, fange udklipsholderdata og registrere tilstedeværelsen af sikkerhedssoftware. Trusselsaktørerne kan bruge PY#RATION som en gateway til at implementere andre truslers nyttelast, såsom en anden Python-baseret info-tyver, der er skabt til at høste data fra webbrowsere og cryptocurrency wallets.