موش کور رنگی
محققان امنیت سایبری یک بسته تهدیدآمیز پایتون را کشف کردهاند که در فهرست بسته پایتون (PyPI) آپلود شده است که حاوی یک دزد اطلاعات مضر و تروجان دسترسی از راه دور (RAT) است. این بسته "colourfool" نام داشت و توسط یک تیم تحقیقاتی امنیتی شناسایی شد که خود تهدید بدافزار را "Color-Blind" نامید.
این حادثه روند رو به رشد جرایم سایبری دموکراتیک شده را برجسته می کند، جایی که بازیگران بد فکر می توانند به راحتی به کدهای موجود دسترسی داشته باشند و برای اهداف خود از آن استفاده کنند. محققان توضیح دادند که دموکراتیک کردن جرایم آنلاین میتواند منجر به تشدید چشمانداز تهدید شود، زیرا مهاجمان میتوانند انواع مختلفی از بدافزار خود را با استفاده از کدهای منبعدهی شده از دیگران ایجاد کنند.
مانند دیگر ماژولهای سرکش پایتون، Color-Blind از تکنیکی برای پنهان کردن کد بد خود در اسکریپت راهاندازی استفاده میکند. سپس اسکریپت راهاندازی به یک بار بایگانی ZIP اشاره میکند که در پلتفرم قانونی Discord میزبانی میشود. این به بدافزار اجازه میدهد تا با برخی اقدامات امنیتی سنتی از شناسایی فرار کند و شناسایی و حذف آن را دشوارتر میکند.
موش کور رنگی رمز بازی "مار" را دارد
این بدافزار از مکانیزم ماندگاری استفاده می کند که شامل اضافه کردن یک اسکریپت ویژوال بیسیک (VB) به نام Essentials است. vbs به پوشه Start Up در منوی Start کاربر. پس از ورود به سیستم، اسکریپت VB یک فایل دسته ای ویندوز را اجرا می کند که بدافزار در همان پوشه "python.exe" تزریق می کند. این فایل دستهای بدافزار را با استفاده از پایتون راهاندازی میکند و هر بار که کاربر وارد سیستم میشود، اطمینان حاصل میکند که بدافزار در سیستم فعال و موجود است.
این بدافزار دارای یک تابع حذف فایل است که از «transfer[.]sh» یک وبسایت انتقال فایل ناشناس استفاده میکند که به طور فزایندهای در بین عوامل تهدید محبوب است. این بدافزار همچنین حاوی کد مربوط به مهندسی اجتماعی است که یک پیام خطایی ایجاد می کند که سعی می کند کاربر را متقاعد کند که بدافزار را مجدداً به عنوان مدیر اجرا کند. علاوه بر این، این بدافزار حاوی یک نسخه جاسازی شده از بازی 'Snake' است که به نظر می رسد یک کپی مستقیم از کد از یک مخزن GitHub باشد. با این حال، این بازی هیچ هدف ظاهری را دنبال نمی کند و هنگام اجرا شروع نمی شود.
این بدافزار چندین فرآیند فرعی را راهاندازی میکند که شامل رشتههایی برای جمعآوری کوکیها، رمزهای عبور و کیف پولهای ارزهای دیجیتال است. برای فعال کردن کنترل از راه دور، بدافزار یک برنامه وب Flask را راه اندازی می کند. سپس این تهدید برنامه را از طریق ابزار تونل معکوس Cloudflare به نام "cloudflare" در دسترس اینترنت قرار می دهد. با استفاده از این روش، بدافزار می تواند قوانین فایروال ورودی را دور بزند و حضور دائمی در سیستم در معرض خطر را حفظ کند.
مجموعه گسترده ای از قابلیت های تهدید آمیز موجود در موش صحرایی کوررنگ
Color-Blind RAT و عملکردهای مضر مختلف آن را می توان از طریق برنامه وب کنترل کرد. عملکرد توکنها میتواند توکنهای ورود را برای چندین برنامه که از کروم از طریق electron.io یا کرومیوم مستقیماً به عنوان چارچوب برنامه استفاده میکنند، که شامل Discord میشود، خالی کند. عملکرد گذرواژه ها رمزهای عبور استخراج شده را از مرورگرهای وب به صفحه نمایش می دهد، در حالی که عملکرد کوکی ها همه کوکی های مرورگر را روی صفحه نمایش می گذارد. عملکرد کلیدها دادههای گرفته شده را به ثبتکنندگان کلید میفرستد و روی صفحه نمایش میدهد.
از جمله قابلیت های RAT نیز می توان به عملکرد برنامه ها اشاره کرد که لیستی از برنامه های فعال فعلی و دکمه ای برای پایان دادن به آنها ارائه می دهد. تابع داده dump تمام داده های گرفته شده را به URL C2 ارسال می کند. عملکرد صفحه نمایش تصویری از دسکتاپ کاربر را نشان می دهد و امکان تعامل ابتدایی مانند فشار دادن کلید را فراهم می کند. این تهدید همچنین می تواند اطلاعات IP را جستجو کرده و با استفاده از یک عملکرد متفاوت روی صفحه نمایش دهد. می تواند یک مرورگر را به یک صفحه وب معین باز کند و دستورات را از طریق سیستم عامل اجرا کند. اطلاعات کیف پول ارزهای دیجیتال را می توان از طریق عملکرد فانتوم/متاماسک از دستگاه نقض شده جمع آوری کرد.
با این حال، Color-Blind RAT میتواند حتی اقدامات بیشتری را روی سیستمهای آلوده انجام دهد، مانند استفاده از نقطه پایانی /camera برای جاسوسی از یک کاربر ناآگاه از طریق یک دوربین وب. همچنین نقاط پایانی مختلفی وجود دارد که با «hvnc» شروع میشود، که با دسکتاپ مخفی ایجاد شده در دستگاه قربانی سروکار دارد. تابع /hvncmanager اجازه می دهد تا یک مرورگر وب در این دسکتاپ مخفی راه اندازی شود. تابع /hvnc برای باز کردن دسکتاپ مخفی استفاده می شود و به عوامل تهدید اجازه می دهد تا با آن تعامل داشته باشند. توانایی باز کردن یک مرورگر وب در چنین روشی پنهان می تواند توسط عوامل تهدید برای دسترسی یا تعامل با حساب های اینترنتی قربانی مورد سوء استفاده قرار گیرد. تابع /hvncitem مهاجمان را قادر می سازد تا دستورات سفارشی را روی دسکتاپ مخفی از طریق دستکاری پارامتر URL 'start' اجرا کنند.