Värvipime ROT

Küberturvalisuse teadlased avastasid Pythoni paketiindeksisse (PyPI) üles laaditud ähvardava Pythoni paketi, mis sisaldab kahjulikku teabevarast ja kaugjuurdepääsu troojalast (RAT). Pakett sai nimeks "colourfool" ja selle tuvastas turva-uuringute meeskond, kes nimetas pahavaraohu enda nimeks "värvipime".

See juhtum toob esile demokratiseerunud küberkuritegevuse kasvava suundumuse, kus pahatahtlikud osalejad saavad hõlpsasti juurde pääseda olemasolevale koodile ja seda oma kavatsuste jaoks ümber kasutada. Uurijad selgitasid, et võrgukuritegevuse demokratiseerimine võib kaasa tuua suurenenud ohumaastiku, kuna ründajad saavad luua oma pahavara mitut varianti, kasutades selleks teistelt pärit koodi.

Nagu teisedki hiljutised petturlikud Pythoni moodulid, kasutab Colour-Blind tehnikat, et varjata häälestusskriptis oma halba koodi. Seejärel osutab seadistusskript ZIP-arhiivi kasulikule koormusele, mida majutatakse legitiimsel Discordi platvormil. See võimaldab pahavaral mõne traditsioonilise turvameetme abil tuvastamisest kõrvale hiilida, muutes selle tuvastamise ja eemaldamise keerulisemaks.

Värvipime ROT kannab mängu "Snake" koodi

Pahavara kasutab püsivusmehhanismi, mis hõlmab Visual Basicu (VB) skripti nimega Essentials lisamist. vbs" kasutaja "Startmenüü" kausta "Start". Sisselogimisel käivitab VB-skript Windowsi pakkfaili, mille pahavara sisestab samasse kausta kui 'python.exe'. See pakkfail käivitab ründevara Pythoni abil iga kord, kui kasutaja sisse logib, tagades, et pahavara jääb süsteemis aktiivseks ja eksisteeriks.

Pahavaral on failide väljafiltreerimise funktsioon, mis kasutab anonüümset failiedastusveebisaiti „transfer[.]sh”, mis on ohus osalejate seas üha populaarsem. Pahavara sisaldab ka sotsiaalse manipuleerimisega seotud koodi, mis genereerib veateate, mis püüab veenda kasutajat pahavara administraatorina uuesti käivitama. Lisaks sisaldab pahavara mängu Snake manustatud versiooni, mis näib olevat GitHubi hoidlast pärit koodi otsene koopia. Sellel mängul ei ole aga mingit näilist eesmärki ja see ei käivitu täitmisel.

Pahavara käivitab mitu alamprotsessi, mis hõlmavad küpsiste, paroolide ja krüptovaluuta rahakottide kogumise lõime. Kaugjuhtimise lubamiseks käivitab pahavara Flask veebirakenduse. Seejärel muudab oht rakenduse Cloudflare'i pöördtunneli utiliidi "cloudflared" kaudu Internetile juurdepääsetavaks. Seda meetodit kasutades saab pahavara mööda minna kõigist sissetuleva tulemüüri reeglitest ja säilitada ohustatud süsteemis püsiva kohaloleku.

Värvipimedas RATis leitud ohtralt ähvardavate võimaluste komplekt

Colour-Blind RAT-i ja selle erinevaid kahjulikke funktsioone saab juhtida veebirakenduse kaudu. Tokenite funktsioon võib tühjendada sisselogimismärke mitme rakenduse jaoks, mis kasutavad kroomi elektron.io kaudu või kroomi otse rakendusraamistikuna, mis hõlmab ka Discordi. Paroolide funktsioon heidab veebibrauseritest eraldatud paroolid ekraanile, küpsiste funktsioon aga kõik brauseri küpsised ekraanile. Klahvide funktsioon viib salvestatud andmed klahvilogeritesse ja kuvab neid ekraanil.

RAT-i võimaluste hulgas on ka rakenduste funktsioon, mis pakub hetkel aktiivsete rakenduste loendit ja nuppu nende sulgemiseks. Andmeväljavõtte funktsioon saadab kõik jäädvustatud andmed C2 URL-ile. Ekraanifunktsioon näitab kasutaja töölaua ekraanipilti ja võimaldab elementaarset suhtlust, näiteks klahvivajutust. Samuti võib oht otsida IP-teavet ja kuvada selle ekraanil, kasutades teistsugust funktsiooni. See võib avada antud veebilehele brauseri ja käitada käske operatsioonisüsteemi kaudu. Krüptovaluuta rahakoti teavet saab rikkis seadmest koguda funktsiooni Phantom/Metamask kaudu.

Kuid värvipime RAT suudab nakatunud süsteemides teha veelgi rohkem toiminguid, näiteks kasutada /camera lõpp-punkti pahaaimamatu kasutaja järele luuramiseks veebikaamera kaudu. Samuti on erinevaid lõpp-punkte, mis algavad tähega hvnc, mis käsitlevad ohvri masinas loodud peidetud töölauda. Funktsioon /hvncmanager võimaldab sellel peidetud töölaual veebibrauseri käivitada. Funktsiooni /hvnc kasutatakse peidetud töölaua avamiseks ja see võimaldab ohus osalejatel sellega suhelda. Võimalust avada veebibrauser sellisel peidetud viisil võivad ohus osalejad ohvri Interneti-kontodele juurde pääsemiseks või nendega suhtlemiseks ära kasutada. Funktsioon /hvncitem võimaldab ründajatel täita peidetud töölaual kohandatud käske, manipuleerides URL-i parameetriga "start".