PY#RATION RAT

מסע תקיפה חדש נתפס בטבע. הפעולה המאיימת משתמשת בתוכנה זדונית חדשנית מבוססת Python המכונה PY#RATION RAT. כפי שקורה בדרך כלל עם סוסים טרויאניים של גישה מרחוק (RAT), ל-PY#RATION יש סט מקיף של יכולות מזיקות, כולל חילוץ נתונים ורישום מפתחות. מה שהופך את האיום הזה לייחודי במיוחד הוא השימוש שלו ב-WebSockets הן לתקשורת Command-and-Control (C2, C&C) והן להסרה, כמו גם היכולת שלו להתחמק מזיהוי מפתרונות נגד תוכנות זדוניות ואמצעי אבטחת רשת.

הפרטים על PY#RATION RAT נחשפו בדו"ח של חוקרי אבטחת סייבר. לפי הממצאים שלהם, פושעי הסייבר שמאחורי האיום מתמקדים בעיקר במטרות בבריטניה או בצפון אמריקה, אם לשפוט לפי פתיונות הדיוג המשמשים כחלק מהמתקפה.

שרשרת ההתקפה של PY#RATION

המתקפה מתחילה באימייל דיוג מטעה המכיל ארכיון ZIP. בתוך הארכיון יש שני קבצי קיצורי דרך (.LNK), המתחזות לתמונות הקדמיות והאחוריות של רישיון נהיגה אמיתי כביכול בבריטניה. עם פתיחת כל אחד מקבצי .LNK אלה, שני קבצי טקסט מאוחזרים משרת מרוחק ולאחר מכן נשמרים כקבצי .BAT.

בעוד שלקורבן מוצגות תמונות ההטעיה, הקבצים המזיקים מבוצעים בשקט ברקע המערכת. בנוסף, הורדת סקריפט אצווה נוסף משרת C2 שמקבל מטענים אחרים, כולל קובץ בינארי של Python בשם 'CortanaAssistance.exe'. השימוש ב-Cortana, העוזרת הוירטואלית של מיקרוסופט, מרמז שייתכן שהתוקפים ניסו להסוות את הקוד הפגום שלהם כקובץ מערכת לגיטימי.

היכולות הפוגעות של PY#RATION RAT

זוהו שתי גרסאות טרויאניות של PY#RATION (גרסה 1.0 ו-1.6). הגרסה החדשה יותר כוללת כמעט 1,000 שורות של קוד נוסף, המוסיף תכונות סריקת רשת לבחינת רשתות שנפגעו ושכבת הצפנה מעל קוד Python באמצעות מודול fernet. בנוסף, האיום יכול להעביר קבצים מהמארח הפרוץ לשרת ה-C2 שלו ולהיפך.

ה-RAT יכול להתחיל להקליט הקשות, לבצע פקודות מערכת, לחלץ סיסמאות וקובצי Cookie מדפדפני אינטרנט, ללכוד נתוני לוח ולזהות נוכחות של תוכנת אבטחה. שחקני האיומים יכולים להשתמש ב-PY#RATION כשער לפריסת המטענים של איומים אחרים, כמו גנב מידע אחר מבוסס Python שנוצר במפורש כדי לאסוף נתונים מדפדפני אינטרנט וארנקי מטבעות קריפטוגרפיים.