PY#RATION RAT

Looduses on tabatud uus rünnakukampaania. Ähvardusoperatsioon kasutab uudset Pythoni-põhist pahavara, mille nimi on PY#RATION RAT. Nagu tavaliselt nende kaugjuurdepääsu troojalaste (RAT) puhul, on ka PY#RATIONil laiaulatuslik komplekt kahjulikke võimalusi, sealhulgas andmete väljafiltreerimine ja klahvilogimine. Selle ohu teeb eriti ainulaadseks selle WebSocketsi kasutamine nii Command-and-Control (C2, C&C) suhtluseks kui ka väljafiltreerimiseks, samuti selle võime vältida pahavaravastaste lahenduste ja võrgu turvameetmete tuvastamist.

Üksikasjad PY#RATION RAT kohta on avalikustatud küberjulgeoleku teadlaste raportis. Nende järelduste kohaselt on ohu taga olevad küberkurjategijad keskendunud peamiselt sihtmärkidele Ühendkuningriigis või Põhja-Ameerikas, otsustades rünnaku osana kasutatud andmepüügipeibutiste järgi.

PY#RATIONi rünnakuahel

Rünnak algab petliku andmepüügimeiliga, mis sisaldab ZIP-arhiivi. Arhiivis on kaks otsetee (.LNK) faili, mis kujutavad endast väidetavalt ehtsa Ühendkuningriigi juhiloa esi- ja tagakujutisi. Kõigi nende LNK-failide avamisel hangitakse kaugserverist kaks tekstifaili ja salvestatakse seejärel .BAT-failidena.

Samal ajal kui ohvrile näidatakse peibutuspilte, käivitatakse kahjulikud failid vaikselt süsteemi taustal. Lisaks laaditakse C2 serverist alla veel üks pakkskript, mis hangib muid kasulikke koormusi, sealhulgas Pythoni binaarfaili nimega „CortanaAssistance.exe”. Microsofti virtuaalse assistendi Cortana kasutamine viitab sellele, et ründajad võisid püüda maskeerida oma rikutud koodi seadusliku süsteemifailina.

PY#RATION RAT'i haiget tekitavad võimalused

Tuvastati kaks PY#RATION Trooja versiooni (versioonid 1.0 ja 1.6). Uuem versioon sisaldab ligi 1000 rida lisakoodi, mis lisab võrguskannimise funktsioonid ohustatud võrkude uurimiseks ja krüpteerimiskihi Pythoni koodi kohal ferneti mooduli abil. Lisaks võib oht edastada faile rikutud hostist selle C2-serverisse ja vastupidi.

RAT saab hakata salvestama klahvivajutusi, täitma süsteemikäske, eraldama veebibrauseritest paroole ja küpsiseid, püüdma lõikepuhvri andmeid ja tuvastama turvatarkvara olemasolu. Ohutegijad saavad kasutada PY#RATIONi lüüsina muude ohtude, näiteks teise Pythoni-põhise teabevargaja, mis on spetsiaalselt loodud veebibrauserite ja krüptovaluuta rahakottide andmete kogumiseks, juurutamiseks.