Αχρωματοψία RAT

Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα απειλητικό πακέτο Python που ανέβηκε στο Python Package Index (PyPI), το οποίο περιέχει έναν επιβλαβή κλοπή πληροφοριών και έναν Trojan Remote Access (RAT). Το πακέτο ονομάστηκε 'colourfool' και αναγνωρίστηκε από μια ερευνητική ομάδα ασφαλείας, η οποία ονόμασε την ίδια την απειλή κακόβουλου λογισμικού 'Color-Blind'.

Αυτό το περιστατικό υπογραμμίζει την αυξανόμενη τάση του εκδημοκρατισμένου εγκλήματος στον κυβερνοχώρο, όπου οι κακοπροαίρετοι παράγοντες μπορούν εύκολα να έχουν πρόσβαση και να επαναπροσδιορίσουν τον υπάρχοντα κώδικα για τις δικές τους προθέσεις. Οι ερευνητές εξήγησαν ότι ο εκδημοκρατισμός του διαδικτυακού εγκλήματος θα μπορούσε να οδηγήσει σε ένα εντεινόμενο τοπίο απειλών, καθώς οι εισβολείς μπορούν να δημιουργήσουν πολλές παραλλαγές του κακόβουλου λογισμικού τους αξιοποιώντας κώδικα που προέρχεται από άλλους.

Όπως και άλλες πρόσφατες αδίστακτες λειτουργικές μονάδες Python, το Colour-Blind χρησιμοποιεί μια τεχνική για να κρύψει τον κακό κώδικα στο σενάριο εγκατάστασης. Στη συνέχεια, το σενάριο εγκατάστασης οδηγεί σε ένα ωφέλιμο φορτίο αρχείου ZIP που φιλοξενείται στη νόμιμη πλατφόρμα Discord. Αυτό επιτρέπει στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό με ορισμένα παραδοσιακά μέτρα ασφαλείας, καθιστώντας πιο δύσκολο τον εντοπισμό και την αφαίρεση.

Ο Αχρωματοψίας RAT φέρει τον κωδικό για το παιχνίδι «Φιδάκι».

Το κακόβουλο λογισμικό χρησιμοποιεί έναν μηχανισμό επιμονής που περιλαμβάνει την προσθήκη ενός σεναρίου της Visual Basic (VB) με το όνομα «Essentials». vbs' στο φάκελο 'Start Up' στο 'Start Menu' του χρήστη. Κατά τη σύνδεση, το σενάριο VB εκτελεί ένα αρχείο δέσμης των Windows που το κακόβουλο λογισμικό εισάγει στον ίδιο φάκελο με το "python.exe". Αυτό το ομαδικό αρχείο ξεκινά το κακόβουλο λογισμικό χρησιμοποιώντας Python κάθε φορά που ο χρήστης συνδέεται, διασφαλίζοντας ότι το κακόβουλο λογισμικό παραμένει ενεργό και παρόν στο σύστημα.

Το κακόβουλο λογισμικό έχει μια λειτουργία εξαγωγής αρχείων που αξιοποιεί το «transfer[.]sh», έναν ανώνυμο ιστότοπο μεταφοράς αρχείων που είναι όλο και πιο δημοφιλής μεταξύ των παραγόντων απειλών. Το κακόβουλο λογισμικό περιέχει επίσης κώδικα που σχετίζεται με την κοινωνική μηχανική, ο οποίος δημιουργεί ένα μήνυμα σφάλματος που προσπαθεί να πείσει τον χρήστη να εκτελέσει ξανά το κακόβουλο λογισμικό ως διαχειριστής. Επιπλέον, το κακόβουλο λογισμικό περιέχει μια ενσωματωμένη έκδοση του παιχνιδιού «Snake» που φαίνεται να είναι ένα άμεσο αντίγραφο κώδικα από ένα αποθετήριο GitHub. Ωστόσο, αυτό το παιχνίδι δεν εξυπηρετεί κανένα προφανή σκοπό και δεν ξεκινά όταν εκτελείται.

Το κακόβουλο λογισμικό ενεργοποιεί πολλαπλές υποδιεργασίες, οι οποίες περιλαμβάνουν νήματα για τη συλλογή cookies, κωδικών πρόσβασης και πορτοφολιών κρυπτονομισμάτων. Για να ενεργοποιήσετε τον απομακρυσμένο έλεγχο, το κακόβουλο λογισμικό ξεκινά μια εφαρμογή web Flask. Στη συνέχεια, η απειλή καθιστά την εφαρμογή προσβάσιμη στο Διαδίκτυο μέσω του βοηθητικού προγράμματος αντίστροφης σήραγγας του Cloudflare που ονομάζεται «cloudflared». Με τη χρήση αυτής της μεθόδου, το κακόβουλο λογισμικό μπορεί να παρακάμψει τυχόν κανόνες εισερχόμενου τείχους προστασίας και να διατηρήσει μια επίμονη παρουσία στο παραβιασμένο σύστημα.

Το εκτεταμένο σύνολο απειλητικών δυνατοτήτων που βρέθηκαν στον αχρωματοψία RAT

Το Colour-Blind RAT και οι διάφορες επιβλαβείς λειτουργίες του μπορούν να ελεγχθούν μέσω της εφαρμογής Web. Η λειτουργία tokens μπορεί να απορρίψει διακριτικά σύνδεσης για πολλές εφαρμογές που χρησιμοποιούν χρώμιο μέσω electron.io ή chromium απευθείας ως πλαίσιο εφαρμογής, το οποίο περιλαμβάνει το Discord. Η λειτουργία κωδικών πρόσβασης μεταφέρει τους κωδικούς πρόσβασης που έχουν εξαχθεί από τα προγράμματα περιήγησης ιστού στην οθόνη, ενώ η λειτουργία cookies απορρίπτει όλα τα cookie του προγράμματος περιήγησης στην οθόνη. Η λειτουργία πλήκτρων απορρίπτει τα δεδομένα που έχουν συλλεχθεί σε καταγραφείς κλειδιών και τα εμφανίζει στην οθόνη.

Μεταξύ των δυνατοτήτων του RAT είναι επίσης η λειτουργία εφαρμογών, η οποία παρέχει μια λίστα με τις τρέχουσες ενεργές εφαρμογές και ένα κουμπί για τον τερματισμό τους. Η συνάρτηση απόρριψης δεδομένων στέλνει όλα τα δεδομένα που έχουν καταγραφεί στη διεύθυνση URL C2. Η λειτουργία οθόνης εμφανίζει ένα στιγμιότυπο οθόνης της επιφάνειας εργασίας του χρήστη και επιτρέπει την στοιχειώδη αλληλεπίδραση, όπως το πάτημα πλήκτρων. Η απειλή μπορεί επίσης να αναζητήσει πληροφορίες IP και να τις εμφανίσει στην οθόνη χρησιμοποιώντας μια διαφορετική λειτουργία. Μπορεί να ανοίξει ένα πρόγραμμα περιήγησης σε μια δεδομένη ιστοσελίδα και να εκτελέσει εντολές μέσω του λειτουργικού συστήματος. Οι πληροφορίες πορτοφολιού κρυπτονομισμάτων μπορούν να συλλεχθούν από τη συσκευή που έχει παραβιαστεί μέσω της λειτουργίας φάντασμα/Μεταμάσκα.

Ωστόσο, το Colour-Blind RAT μπορεί να εκτελέσει ακόμη περισσότερες ενέργειες στα μολυσμένα συστήματα, όπως να χρησιμοποιήσει το τελικό σημείο /camera για να κατασκοπεύσει έναν ανυποψίαστο χρήστη μέσω μιας κάμερας web. Υπάρχουν επίσης διάφορα τελικά σημεία που ξεκινούν με «hvnc», τα οποία ασχολούνται με μια κρυφή επιφάνεια εργασίας που δημιουργήθηκε στον υπολογιστή του θύματος. Η συνάρτηση /hvncmanager επιτρέπει την εκκίνηση ενός προγράμματος περιήγησης Ιστού σε αυτήν την κρυφή επιφάνεια εργασίας. Η συνάρτηση /hvnc χρησιμοποιείται για το άνοιγμα της κρυφής επιφάνειας εργασίας και επιτρέπει στους παράγοντες της απειλής να αλληλεπιδράσουν μαζί της. Η δυνατότητα ανοίγματος ενός προγράμματος περιήγησης ιστού με τέτοιο κρυφό τρόπο μπορεί να εκμεταλλευτεί οι παράγοντες της απειλής για πρόσβαση ή αλληλεπίδραση με τους λογαριασμούς του θύματος στο Διαδίκτυο. Η συνάρτηση /hvncitem επιτρέπει στους εισβολείς να εκτελούν προσαρμοσμένες εντολές στην κρυφή επιφάνεια εργασίας μέσω χειρισμού της παραμέτρου URL 'start'.