PY#RATION RAT

Uusi hyökkäyskampanja on saatu kiinni luonnosta. Uhkailuoperaatio käyttää uutta Python-pohjaista haittaohjelmaa nimeltä PY#RATION RAT. Kuten näille etäkäyttötroijalaisille (RAT:ille) tyypillisesti kuuluu, PY#RATIONilla on kattava joukko haitallisia ominaisuuksia, mukaan lukien tietojen suodatus ja näppäinten kirjaaminen. Erityisen ainutlaatuisen tästä uhasta tekee sen WebSockettien käyttö sekä Command-and-Control (C2, C&C) -viestinnässä että suodatuksessa, sekä sen kyky välttää haittaohjelmien torjuntaratkaisujen ja verkon suojaustoimenpiteiden havaitseminen.

Yksityiskohdat PY#RATION RATista on paljastettu kyberturvallisuustutkijoiden raportissa. Heidän havaintojensa mukaan uhan takana olevat kyberrikolliset keskittyvät enimmäkseen Isossa-Britanniassa tai Pohjois-Amerikassa oleviin kohteisiin hyökkäyksen osana käytettyjen tietojenkalasteluuistimien perusteella.

PY#RATIONin hyökkäysketju

Hyökkäys alkaa petollisella tietojenkalasteluviestillä, joka sisältää ZIP-arkiston. Arkiston sisällä on kaksi pikakuvaketta (.LNK) -tiedostoa, jotka esiintyvät aidon brittiläisen ajokortin etu- ja takakuvina. Kun jokainen näistä .LNK-tiedostoista avataan, kaksi tekstitiedostoa haetaan etäpalvelimelta ja tallennetaan sitten .BAT-tiedostoina.

Kun uhrille näytetään houkutuskuvia, haitalliset tiedostot suoritetaan äänettömästi järjestelmän taustalla. Lisäksi C2-palvelimelta ladataan toinen eräkomentosarja, joka hankkii muita hyötykuormia, mukaan lukien Python-binaarin nimeltä "CortanaAssistance.exe". Cortanan, Microsoftin virtuaalisen avustajan, käyttö tarkoittaa, että hyökkääjät ovat saattaneet yrittää naamioida vioittunutta koodiaan lailliseksi järjestelmätiedostoksi.

PY#RATION RATIN vahingolliset ominaisuudet

Kaksi PY#RATION Troijan versiota on havaittu (versiot 1.0 ja 1.6). Uudempi versio sisältää lähes 1000 riviä lisäkoodia, joka lisää verkkoskannausominaisuuksia vaarantuneiden verkkojen tutkimiseen ja salauskerroksen Python-koodin päälle fernet-moduulin avulla. Lisäksi uhka voi siirtää tiedostoja rikkoutuneelta isännältä sen C2-palvelimelle ja päinvastoin.

RAT voi alkaa tallentaa näppäinpainalluksia, suorittaa järjestelmäkomentoja, poimia salasanoja ja evästeitä verkkoselaimista, kaapata leikepöydän tietoja ja havaita suojausohjelmiston olemassaolon. Uhkatoimijat voivat käyttää PY#RATIONia yhdyskäytävänä muiden uhkien, kuten toisen Python-pohjaisen tietovarastajan, joka on erityisesti luotu keräämään tietoja verkkoselaimista ja kryptovaluuttalompakoista, hyötykuormien käyttöönottamiseksi.