עיוור צבעים חולדה
חוקרי אבטחת סייבר חשפו חבילת Python מאיימת שהועלתה ל-Python Package Index (PyPI), המכילה גנב מידע מזיק ו-Remote Access Trojan (RAT). החבילה קיבלה את השם 'colourfool' וזוהתה על ידי צוות מחקר אבטחה, שקרא לאיום התוכנה עצמו 'עיוור צבעים'.
תקרית זו מדגישה את המגמה ההולכת וגוברת של פשעי סייבר בדמוקרטיה, שבה שחקנים חסרי אופקים יכולים לגשת בקלות לקוד הקיים ולהשתמש בו מחדש לכוונותיהם שלהם. החוקרים הסבירו כי הדמוקרטיזציה של הפשע המקוון עלולה להוביל לנוף איומים מוגבר, מכיוון שתוקפים יכולים ליצור גרסאות מרובות של תוכנות זדוניות שלהם על ידי מינוף קוד שמקורו באחרים.
כמו מודולי Python נוכלים אחרים לאחרונה, Colour-Blind משתמש בטכניקה כדי להסתיר את הקוד הגרוע שלו בסקריפט ההתקנה. לאחר מכן, סקריפט ההתקנה מצביע על מטען בארכיון ZIP שמתארח בפלטפורמת Discord הלגיטימית. זה מאפשר לתוכנה הזדונית להתחמק מזיהוי באמצעות כמה אמצעי אבטחה מסורתיים, מה שמקשה על זיהוי והסרה.
החולד עיוור צבעים נושא את הקוד למשחק 'נחש'
התוכנה הזדונית משתמשת במנגנון התמדה הכולל הוספת סקריפט Visual Basic (VB) בשם 'Essentials'. vbs' לתיקיית 'התחל' ב'תפריט התחל' של המשתמש. עם הכניסה, סקריפט VB מבצע קובץ אצווה של Windows שהתוכנה הזדונית מזריקה באותה תיקייה כמו 'python.exe'. קובץ אצווה זה מתחיל את התוכנה הזדונית באמצעות Python בכל פעם שהמשתמש מתחבר, ומבטיח שהתוכנה הזדונית תישאר פעילה ונוכחת במערכת.
לתוכנה הזדונית יש פונקציית סינון קבצים הממנפת את 'העברה[.]ש', אתר העברת קבצים אנונימי שהולך ופופולרי בקרב גורמי איומים. התוכנה הזדונית מכילה גם קוד הקשור להנדסה חברתית, אשר מייצרת הודעת שגיאה המנסה לשכנע את המשתמש להפעיל מחדש את התוכנה הזדונית כמנהל. בנוסף, התוכנה הזדונית מכילה גרסה משובצת של המשחק 'Snake' שנראית כהעתק ישיר של קוד ממאגר GitHub. עם זאת, המשחק הזה אינו משרת שום מטרה נראית לעין ואינו מתחיל כשהוא מופעל.
התוכנה הזדונית מפעילה מספר תהליכי משנה, הכוללים שרשורים לאיסוף קובצי Cookie, סיסמאות וארנקי מטבעות קריפטוגרפיים. כדי לאפשר שליטה מרחוק, התוכנה הזדונית מפעילה יישום אינטרנט של Flask. לאחר מכן האיום הופך את האפליקציה לנגישה לאינטרנט באמצעות כלי השירות המנהרה ההפוכה של Cloudflare בשם 'cloudflared'. על ידי שימוש בשיטה זו, התוכנה הזדונית יכולה לעקוף כל כללי חומת אש נכנסת ולשמור על נוכחות מתמשכת במערכת שנפרצה.
קבוצת היכולות המאיימת הנרחבת שנמצאת בחולדה עיוור צבעים
ניתן לשלוט ב-Colour-BLind RAT ובפונקציות המזיקות השונות שלו באמצעות אפליקציית האינטרנט. פונקציית האסימונים יכולה לזרוק אסימוני כניסה עבור מספר יישומים המשתמשים בכרום דרך electron.io או כרום ישירות כמסגרת אפליקציה, הכוללת Discord. פונקציית הסיסמאות זורקת למסך סיסמאות שחולצו מדפדפני אינטרנט, בעוד שפונקציית ה-Cookies זורקת את כל קובצי ה-Cookie של הדפדפן למסך. פונקציית המפתחות זורקת נתונים שנלכדו ללוגמי מפתחות ומציגה אותם על המסך.
בין היכולות של ה-RAT גם פונקציית היישומים, המספקת רשימה של היישומים הפעילים כעת וכפתור לסיום. פונקציית dump הנתונים שולחת את כל הנתונים שנלכדו לכתובת ה-URL של C2. פונקציית המסך מציגה צילום מסך של שולחן העבודה של המשתמש ומאפשרת אינטראקציה ראשונית, כגון לחיצות מקשים. האיום יכול גם לחפש מידע IP ולהציג אותו על המסך באמצעות פונקציה אחרת. זה יכול לפתוח דפדפן לדף אינטרנט נתון ולהריץ פקודות דרך מערכת ההפעלה. ניתן לאסוף מידע על ארנק מטבעות קריפטו מהמכשיר הפרוץ באמצעות פונקציית הפנטום/מטאמסק.
עם זאת, ה-Colour-Blind RAT יכול לבצע אפילו יותר פעולות על המערכות הנגועות, כגון שימוש בנקודת הקצה /camera כדי לרגל אחר משתמש לא חושד באמצעות מצלמת אינטרנט. יש גם נקודות קצה שונות שמתחילות ב-hvnc, העוסקות בשולחן עבודה נסתר שנוצר במחשב של הקורבן. הפונקציה /hvncmanager מאפשרת הפעלה של דפדפן אינטרנט בשולחן העבודה הנסתר הזה. הפונקציה /hvnc משמשת לפתיחת שולחן העבודה הנסתר והיא מאפשרת לשחקני האיום לקיים איתו אינטראקציה. היכולת לפתוח דפדפן אינטרנט בצורה כה נסתרת יכולה להיות מנוצלת על ידי גורמי האיום כדי לגשת או לקיים אינטראקציה עם חשבונות האינטרנט של הקורבן. הפונקציה /hvncitem מאפשרת לתוקפים לבצע פקודות מותאמות אישית על שולחן העבודה הנסתר באמצעות מניפולציה של פרמטר ה-URL 'start'.
