Värisokea RAT

Kyberturvallisuustutkijat ovat löytäneet Python Package Indexiin (PyPI) ladatun uhkaavan Python-paketin, joka sisältää haitallisen tiedon varastajan ja etäkäyttötroijalaisen (RAT). Paketti sai nimen "colourfool", ja sen tunnisti tietoturvatutkimusryhmä, joka nimesi itse haittaohjelmauhan "värisokeaksi".

Tämä tapaus korostaa demokratisoituneen kyberrikollisuuden kasvavaa trendiä, jossa huonosti ajattelevat toimijat voivat helposti päästä käsiksi olemassa olevaan koodiin ja käyttää sitä uudelleen omiin aikoihinsa. Tutkijat selittivät, että verkkorikollisuuden demokratisoituminen voi johtaa uhkakuvan lisääntymiseen, koska hyökkääjät voivat luoda haittaohjelmistaan useita muunnelmia hyödyntämällä muilta peräisin olevaa koodia.

Kuten muutkin viimeaikaiset petolliset Python-moduulit, Colour-Blind käyttää tekniikkaa piilottaakseen huonon koodinsa asennuskomentosarjassa. Asennusskripti osoittaa sitten ZIP-arkiston hyötykuormaan, jota isännöidään laillisella Discord-alustalla. Tämän ansiosta haittaohjelmat voivat välttää havaitsemisen perinteisillä suojaustoimenpiteillä, mikä vaikeuttaa sen havaitsemista ja poistamista.

Värisokealla rotalla on käärmepelin koodi

Haittaohjelma käyttää pysyvyysmekanismia, joka sisältää Visual Basic (VB) -komentosarjan, jonka nimi on Essentials, lisääminen. vbs" käyttäjän Käynnistä-valikon "Käynnistys"-kansioon. Kirjautumisen yhteydessä VB-komentosarja suorittaa Windowsin erätiedoston, jonka haittaohjelma lisää samaan kansioon kuin python.exe. Tämä erätiedosto käynnistää haittaohjelman Pythonilla joka kerta, kun käyttäjä kirjautuu sisään ja varmistaa, että haittaohjelma pysyy aktiivisena ja läsnä järjestelmässä.

Haittaohjelmassa on tiedostojen suodatustoiminto, joka hyödyntää "transfer[.]sh" -sivustoa, joka on nimetön tiedostonsiirtosivusto, joka on yhä suositumpi uhkien keskuudessa. Haittaohjelma sisältää myös sosiaaliseen manipulointiin liittyvää koodia, joka luo virheilmoituksen, joka yrittää suostutella käyttäjää suorittamaan haittaohjelman uudelleen järjestelmänvalvojana. Lisäksi haittaohjelma sisältää sulautetun version Snake-pelistä, joka näyttää olevan suora kopio GitHub-tietovaraston koodista. Tämä peli ei kuitenkaan palvele mitään ilmeistä tarkoitusta, eikä se käynnisty, kun se suoritetaan.

Haittaohjelma käynnistää useita aliprosesseja, jotka sisältävät säikeitä evästeiden, salasanojen ja kryptovaluuttalompakoiden keräämiseen. Kauko-ohjauksen mahdollistamiseksi haittaohjelma käynnistää Flask-verkkosovelluksen. Uhka tekee sitten sovelluksen saataville Internetiin Cloudflaren käänteisen tunnelin 'cloudflared' -apuohjelman kautta. Tätä menetelmää käyttämällä haittaohjelma voi ohittaa kaikki saapuvan palomuurisäännöt ja ylläpitää jatkuvaa läsnäoloa vaarantuneessa järjestelmässä.

Laaja joukko uhkaavia ominaisuuksia, jotka löytyvät värisokeasta RATista

Colour-BLind RATia ja sen erilaisia haitallisia toimintoja voidaan ohjata verkkosovelluksen kautta. Tokens-toiminto voi tyhjentää kirjautumistunnuksia useille sovelluksille, jotka käyttävät kromia electron.io:n kautta tai kromia suoraan sovelluskehyksenä, joka sisältää Discordin. Salasanatoiminto tallentaa selaimista poimitut salasanat näytölle, kun taas evästetoiminto poistaa kaikki selaimen evästeet näytölle. Näppäintoiminto siirtää kaapatut tiedot näppäinloggereihin ja näyttää ne näytöllä.

RAT:n ominaisuuksiin kuuluu myös sovellustoiminto, joka tarjoaa luettelon tällä hetkellä aktiivisista sovelluksista ja painikkeen niiden lopettamiseksi. Datavedostoiminto lähettää kaikki siepatut tiedot C2-URL-osoitteeseen. Näyttötoiminto näyttää kuvakaappauksen käyttäjän työpöydästä ja mahdollistaa alkeellisen vuorovaikutuksen, kuten näppäinpainallukset. Uhka voi myös etsiä IP-tietoja ja näyttää ne näytöllä käyttämällä eri toimintoa. Se voi avata selaimen tietylle verkkosivulle ja suorittaa komentoja käyttöjärjestelmän kautta. Kryptovaluuttalompakkotiedot voidaan kerätä rikotun laitteen kautta phantom/Metamask-toiminnon kautta.

Värisokea RAT voi kuitenkin suorittaa vielä enemmän toimintoja tartunnan saaneissa järjestelmissä, kuten käyttää /camera-päätepistettä vakoilemaan pahaa aavistamatonta käyttäjää verkkokameran kautta. On myös useita hvnc:llä alkavia päätepisteitä, jotka käsittelevät uhrin koneelle luotua piilotettua työpöytää. /hvncmanager-toiminto mahdollistaa verkkoselaimen käynnistämisen tällä piilotetulla työpöydällä. /hvnc-toimintoa käytetään piilotetun työpöydän avaamiseen ja sen avulla uhkatekijät voivat olla vuorovaikutuksessa sen kanssa. Uhkatoimijat voivat käyttää hyväkseen mahdollisuutta avata verkkoselain piilotetulla tavalla päästäkseen uhrin Internet-tileihin tai ollakseen vuorovaikutuksessa niiden kanssa. /hvncitem-funktion avulla hyökkääjät voivat suorittaa mukautettuja komentoja piilotetulla työpöydällä manipuloimalla URL-parametria "start".