कलर-ब्लाइंड आरएटी

साइबर सुरक्षा शोधकर्ताओं ने एक हानिकारक सूचना चोरी करने वाले और रिमोट एक्सेस ट्रोजन (RAT) युक्त पायथन पैकेज इंडेक्स (PyPI) पर अपलोड किए गए एक खतरनाक पायथन पैकेज को उजागर किया है। पैकेज को 'कलरफूल' नाम दिया गया था और एक सुरक्षा अनुसंधान दल द्वारा इसकी पहचान की गई थी, जिसने मैलवेयर के खतरे को 'कलर-ब्लाइंड' नाम दिया था।

यह घटना लोकतांत्रित साइबर अपराध के बढ़ते चलन को उजागर करती है, जहां बीमार दिमाग वाले अभिनेता आसानी से अपने स्वयं के इरादों के लिए मौजूदा कोड तक पहुंच सकते हैं और उसका पुनरुत्पादन कर सकते हैं। शोधकर्ताओं ने समझाया कि ऑनलाइन अपराध के लोकतंत्रीकरण से एक तीव्र खतरे का परिदृश्य पैदा हो सकता है, क्योंकि हमलावर दूसरों से प्राप्त कोड का लाभ उठाकर अपने मैलवेयर के कई संस्करण बना सकते हैं।

अन्य हालिया खराब पायथन मॉड्यूल की तरह, कलर-ब्लाइंड सेटअप स्क्रिप्ट में अपने खराब कोड को छिपाने के लिए एक तकनीक का उपयोग करता है। सेटअप स्क्रिप्ट तब एक ज़िप आर्काइव पेलोड की ओर इशारा करती है जिसे वैध डिस्कॉर्ड प्लेटफॉर्म पर होस्ट किया जाता है। यह मैलवेयर को कुछ पारंपरिक सुरक्षा उपायों द्वारा पता लगाने से बचने की अनुमति देता है, जिससे इसका पता लगाना और हटाना अधिक कठिन हो जाता है।

कलर-ब्लाइंड RAT 'स्नेक' गेम के लिए कोड रखता है

मैलवेयर एक दृढ़ता तंत्र का उपयोग करता है जिसमें 'अनिवार्य' नामक एक विजुअल बेसिक (वीबी) स्क्रिप्ट जोड़ना शामिल है। vbs' उपयोगकर्ता के 'प्रारंभ मेनू' में 'प्रारंभ करें' फ़ोल्डर में। लॉगिन करने पर, VB स्क्रिप्ट एक Windows बैच फ़ाइल निष्पादित करती है जिसे मैलवेयर उसी फ़ोल्डर में 'python.exe' के रूप में इंजेक्ट करता है। यह बैच फ़ाइल हर बार जब उपयोगकर्ता लॉग इन करता है तो पायथन का उपयोग करके मैलवेयर शुरू करता है, यह सुनिश्चित करता है कि मैलवेयर सक्रिय रहता है और सिस्टम पर मौजूद रहता है।

मैलवेयर में एक फ़ाइल एक्सफिल्ट्रेशन फ़ंक्शन है जो 'ट्रांसफर [.]sh' का लाभ उठाता है, जो एक अनाम फ़ाइल स्थानांतरण वेबसाइट है जो खतरे के अभिनेताओं के बीच तेजी से लोकप्रिय है। मैलवेयर में सोशल इंजीनियरिंग से संबंधित कोड भी होता है, जो एक त्रुटि संदेश उत्पन्न करता है जो उपयोगकर्ता को एक व्यवस्थापक के रूप में मैलवेयर को फिर से चलाने के लिए मनाने का प्रयास करता है। इसके अतिरिक्त, मैलवेयर में 'स्नेक' गेम का एक एम्बेडेड संस्करण होता है जो कि GitHub रिपॉजिटरी से कोड की एक सीधी प्रति प्रतीत होता है। हालाँकि, यह गेम किसी भी स्पष्ट उद्देश्य की पूर्ति नहीं करता है और निष्पादित होने पर शुरू नहीं होता है।

मैलवेयर कई उपप्रक्रियाओं को ट्रिगर करता है, जिसमें कुकीज़, पासवर्ड और क्रिप्टोक्यूरेंसी वॉलेट एकत्र करने के लिए थ्रेड्स शामिल हैं। रिमोट कंट्रोल को सक्षम करने के लिए, मैलवेयर फ्लास्क वेब एप्लिकेशन शुरू करता है। यह खतरा तब एप्लिकेशन को क्लाउडफ्लेयर की रिवर्स टनल यूटिलिटी 'क्लाउडफ्लेयर' के माध्यम से इंटरनेट तक पहुंच योग्य बनाता है। इस पद्धति का उपयोग करके, मैलवेयर किसी भी इनबाउंड फ़ायरवॉल नियमों को बायपास कर सकता है और समझौता किए गए सिस्टम पर लगातार उपस्थिति बनाए रख सकता है।

कलर-ब्लाइंड आरएटी में खतरनाक क्षमताओं का विस्तृत सेट मिला

Color-Blind RAT और इसकी विभिन्न हानिकारक कार्यक्षमताओं को वेब एप्लिकेशन के माध्यम से नियंत्रित किया जा सकता है। टोकन फ़ंक्शन कई अनुप्रयोगों के लिए लॉगिन टोकन को डंप कर सकता है जो क्रोमियम का उपयोग इलेक्ट्रॉन.आईओ या क्रोमियम के माध्यम से सीधे एक एप्लिकेशन फ्रेमवर्क के रूप में करते हैं, जिसमें डिस्कोर्ड शामिल है। पासवर्ड फ़ंक्शन वेब ब्राउज़र से निकाले गए पासवर्ड को स्क्रीन पर डंप कर देता है, जबकि कुकी फ़ंक्शन सभी ब्राउज़र कुकीज़ को स्क्रीन पर डंप कर देता है। कीज फंक्शन कैप्चर किए गए डेटा को कीलॉगर्स को डंप करता है और इसे स्क्रीन पर दिखाता है।

RAT की क्षमताओं में एप्लिकेशन फ़ंक्शन भी है, जो वर्तमान में सक्रिय एप्लिकेशन की सूची और उन्हें समाप्त करने के लिए एक बटन प्रदान करता है। डेटा डंप फ़ंक्शन सभी कैप्चर किए गए डेटा को C2 URL पर भेजता है। स्क्रीन फ़ंक्शन उपयोगकर्ता के डेस्कटॉप का एक स्क्रीनशॉट दिखाता है और अल्पविकसित इंटरैक्शन की अनुमति देता है, जैसे कि कुंजी दबाना। खतरा आईपी जानकारी को भी देख सकता है और इसे एक अलग फ़ंक्शन का उपयोग करके स्क्रीन पर प्रदर्शित कर सकता है। यह किसी दिए गए वेबपेज के लिए एक ब्राउज़र खोल सकता है और ऑपरेटिंग सिस्टम के माध्यम से कमांड चला सकता है। क्रिप्टोक्यूरेंसी वॉलेट जानकारी को प्रेत / मेटामास्क फ़ंक्शन के माध्यम से उल्लंघन किए गए डिवाइस से काटा जा सकता है।

हालाँकि, कलर-ब्लाइंड RAT संक्रमित सिस्टम पर और भी अधिक कार्य कर सकता है, जैसे कि वेब कैमरे के माध्यम से किसी अनजान उपयोगकर्ता की जासूसी करने के लिए / कैमरा एंडपॉइंट का उपयोग करना। 'एचवीएनसी' से शुरू होने वाले विभिन्न समापन बिंदु भी हैं, जो पीड़ित की मशीन पर बनाए गए छिपे हुए डेस्कटॉप से निपटते हैं। /Hvncmanager प्रकार्य इस छिपे हुए डेस्कटॉप पर एक वेब ब्राउज़र को शुरू करने की अनुमति देता है। /Hvnc फ़ंक्शन का उपयोग छिपे हुए डेस्कटॉप को खोलने के लिए किया जाता है और यह थ्रेट एक्टर्स को इसके साथ इंटरैक्ट करने की अनुमति देता है। पीड़ित के इंटरनेट खातों तक पहुंचने या उससे बातचीत करने के लिए धमकी देने वाले अभिनेताओं द्वारा इस तरह के छिपे तरीके से एक वेब ब्राउज़र खोलने की क्षमता का फायदा उठाया जा सकता है। /Hvncitem फ़ंक्शन हमलावरों को URL पैरामीटर 'प्रारंभ' में हेर-फेर करके छिपे हुए डेस्कटॉप पर कस्टम आदेश निष्पादित करने में सक्षम बनाता है.