PY# RATION RAT

Μια νέα εκστρατεία επίθεσης έχει πιαστεί στη φύση. Η απειλητική λειτουργία χρησιμοποιεί ένα νέο κακόβουλο λογισμικό βασισμένο σε Python που ονομάζεται PY#RATION RAT. Όπως συμβαίνει συνήθως με αυτούς τους Trojan Remote Access (RAT), το PY#RATION διαθέτει ένα ολοκληρωμένο σύνολο επιβλαβών δυνατοτήτων, συμπεριλαμβανομένης της εξαγωγής δεδομένων και της καταγραφής πλήκτρων. Αυτό που κάνει αυτήν την απειλή ιδιαίτερα μοναδική είναι η χρήση των WebSockets τόσο για την επικοινωνία Command-and-Control (C2, C&C) όσο και για την εξαγωγή, καθώς και για την ικανότητά της να αποφεύγει τον εντοπισμό από λύσεις κατά του κακόβουλου λογισμικού και μέτρα ασφαλείας δικτύου.

Οι λεπτομέρειες σχετικά με τον PY#RATION RAT αποκαλύφθηκαν σε έκθεση ερευνητών στον τομέα της κυβερνοασφάλειας. Σύμφωνα με τα ευρήματά τους, οι κυβερνοεγκληματίες πίσω από την απειλή επικεντρώνονται κυρίως σε στόχους στο Ηνωμένο Βασίλειο ή τη Βόρεια Αμερική, αν κρίνουμε από τα θέλγητρα phishing που χρησιμοποιούνται ως μέρος της επίθεσης.

Η αλυσίδα επίθεσης της PY# RATION

Η επίθεση ξεκινά με ένα παραπλανητικό ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που περιέχει ένα αρχείο ZIP. Μέσα στο αρχείο υπάρχουν δύο αρχεία συντομεύσεων (.LNK), τα οποία παρουσιάζονται ως η μπροστινή και η πίσω εικόνα μιας υποτιθέμενης γνήσιας άδειας οδήγησης του Ηνωμένου Βασιλείου. Με το άνοιγμα καθενός από αυτά τα αρχεία .LNK, δύο αρχεία κειμένου ανακτώνται από έναν απομακρυσμένο διακομιστή και στη συνέχεια αποθηκεύονται ως αρχεία .BAT.

Ενώ στο θύμα εμφανίζονται οι εικόνες δόλωμα, τα επιβλαβή αρχεία εκτελούνται σιωπηλά στο φόντο του συστήματος. Επιπλέον, γίνεται λήψη ενός άλλου σεναρίου δέσμης από τον διακομιστή C2 που λαμβάνει άλλα ωφέλιμα φορτία, συμπεριλαμβανομένου ενός δυαδικού αρχείου Python με το όνομα "CortanaAssistance.exe". Η χρήση της Cortana, του εικονικού βοηθού της Microsoft, υποδηλώνει ότι οι εισβολείς μπορεί να προσπάθησαν να συγκαλύψουν τον κατεστραμμένο κώδικά τους ως νόμιμο αρχείο συστήματος.

Οι βλαβερές ικανότητες του PY#RATION RAT

Έχουν εντοπιστεί δύο εκδόσεις Trojan PY#RATION (έκδοση 1.0 και 1.6). Η νεότερη έκδοση περιλαμβάνει σχεδόν 1.000 γραμμές πρόσθετου κώδικα, ο οποίος προσθέτει δυνατότητες σάρωσης δικτύου για την εξέταση δικτύων σε κίνδυνο και ένα επίπεδο κρυπτογράφησης πάνω από τον κώδικα Python χρησιμοποιώντας τη μονάδα fernet. Επιπλέον, η απειλή μπορεί να μεταφέρει αρχεία από τον παραβιασμένο κεντρικό υπολογιστή στον διακομιστή C2 και το αντίστροφο.

Το RAT μπορεί να αρχίσει να καταγράφει πατήματα πλήκτρων, να εκτελεί εντολές συστήματος, να εξάγει κωδικούς πρόσβασης και cookies από προγράμματα περιήγησης Ιστού, να καταγράφει δεδομένα από το πρόχειρο και να ανιχνεύει την παρουσία λογισμικού ασφαλείας. Οι φορείς απειλών μπορούν να χρησιμοποιήσουν το PY#RATION ως πύλη για την ανάπτυξη των ωφέλιμων φορτίων άλλων απειλών, όπως ένα άλλο σύστημα κλοπής πληροφοριών βασισμένο στην Python που δημιουργήθηκε ρητά για τη συλλογή δεδομένων από προγράμματα περιήγησης Ιστού και πορτοφόλια κρυπτονομισμάτων.