PY# RATION RAT

یک کمپین حمله جدید در طبیعت دستگیر شده است. عملیات تهدیدکننده از بدافزار جدید مبتنی بر پایتون به نام PY#RATION RAT استفاده می‌کند. همانطور که معمولاً در مورد این تروجان‌های دسترسی از راه دور (RAT) اتفاق می‌افتد، PY#RATION دارای مجموعه‌ای جامع از قابلیت‌های مضر، از جمله استخراج داده‌ها و keylogging است. چیزی که این تهدید را منحصربه‌فرد می‌کند، استفاده آن از WebSockets برای ارتباطات و خروج فرمان و کنترل (C2, C&C) و همچنین توانایی آن برای فرار از شناسایی از راه‌حل‌های ضد بدافزار و اقدامات امنیتی شبکه است.

جزئیات مربوط به PY#RATION RAT در گزارشی توسط محققان امنیت سایبری فاش شده است. بر اساس یافته‌های آن‌ها، مجرمان سایبری پشت این تهدید بیشتر بر روی اهدافی در بریتانیا یا آمریکای شمالی متمرکز شده‌اند، با قضاوت در مورد فریب‌های فیشینگ که به عنوان بخشی از حمله استفاده می‌شود.

زنجیره حمله PY# RATION

حمله با یک ایمیل فیشینگ فریبنده حاوی یک آرشیو ZIP آغاز می شود. در داخل بایگانی دو فایل میانبر (.LNK) وجود دارد که به عنوان تصاویر جلو و پشت گواهینامه رانندگی ظاهراً واقعی بریتانیا هستند. پس از باز کردن هر یک از این فایل های .LNK، دو فایل متنی از یک سرور راه دور بازیابی می شوند و سپس به عنوان فایل های .BAT ذخیره می شوند.

در حالی که تصاویر فریب به قربانی نشان داده می شود، فایل های مضر به صورت بی صدا در پس زمینه سیستم اجرا می شوند. علاوه بر این، اسکریپت دسته‌ای دیگر از سرور C2 دانلود می‌شود که بارهای دیگری را دریافت می‌کند، از جمله یک باینری پایتون به نام «CortanaAssistance.exe». استفاده از کورتانا، دستیار مجازی مایکروسافت، به این معنی است که مهاجمان ممکن است سعی کرده باشند کد خراب خود را به عنوان یک فایل سیستمی قانونی پنهان کنند.

قابلیت‌های آسیب‌رسان PY#RATION RAT

دو نسخه تروجان PY#RATION شناسایی شده است (نسخه 1.0 و 1.6). نسخه جدیدتر شامل نزدیک به 1000 خط کد اضافی است که ویژگی‌های اسکن شبکه را برای بررسی شبکه‌های در معرض خطر و یک لایه رمزگذاری روی کد پایتون با استفاده از ماژول fernet اضافه می‌کند. علاوه بر این، این تهدید می‌تواند فایل‌ها را از میزبان نقض شده به سرور C2 خود و برعکس انتقال دهد.

RAT می تواند شروع به ضبط ضربه های کلید، اجرای دستورات سیستم، استخراج رمزهای عبور و کوکی ها از مرورگرهای وب، گرفتن داده های کلیپ بورد و تشخیص وجود نرم افزارهای امنیتی کند. بازیگران تهدید می‌توانند از PY#RATION به عنوان دروازه‌ای برای استقرار بارهای تهدیدات دیگر استفاده کنند، مانند یک سارق اطلاعات دیگر مبتنی بر پایتون که به صراحت برای جمع‌آوری داده‌ها از مرورگرهای وب و کیف پول‌های ارزهای دیجیتال ایجاد شده است.