पीवाई#राशन चूहा
जंगल में एक नया हमला अभियान पकड़ा गया है। धमकी भरा ऑपरेशन एक उपन्यास पायथन-आधारित मैलवेयर का उपयोग करता है जिसे PY#RATION RAT करार दिया गया है। जैसा कि आम तौर पर इन रिमोट एक्सेस ट्रोजन्स (RATs) के साथ होता है, PY#RATION में डेटा एक्सफिल्ट्रेशन और कीलॉगिंग सहित हानिकारक क्षमताओं का एक व्यापक सेट है। कमांड-एंड-कंट्रोल (C2, C&C) संचार और एक्सफिल्ट्रेशन दोनों के लिए WebSockets का उपयोग, साथ ही एंटी-मैलवेयर समाधान और नेटवर्क सुरक्षा उपायों से पता लगाने से बचने की इसकी क्षमता इस खतरे को विशेष रूप से अद्वितीय बनाती है।
PY#RATION RAT के बारे में जानकारी साइबर सिक्योरिटी रिसर्चर्स की एक रिपोर्ट में सामने आई है। उनके निष्कर्षों के अनुसार, हमले के हिस्से के रूप में उपयोग किए जाने वाले फ़िशिंग लालच के आधार पर, खतरे के पीछे साइबर अपराधी ज्यादातर यूके या उत्तरी अमेरिका में लक्ष्यों पर केंद्रित हैं।
PY#RATION की अटैक चेन
हमला एक भ्रामक फ़िशिंग ईमेल से शुरू होता है जिसमें ज़िप संग्रह होता है। संग्रह के अंदर दो शॉर्टकट (.LNK) फाइलें हैं, जो कथित तौर पर वास्तविक यूके ड्राइवर के लाइसेंस की आगे और पीछे की छवियों के रूप में प्रस्तुत करती हैं। इनमें से प्रत्येक .LNK फ़ाइलों को खोलने पर, दो पाठ फ़ाइलों को एक दूरस्थ सर्वर से पुनर्प्राप्त किया जाता है और फिर .BAT फ़ाइलों के रूप में सहेजा जाता है।
जबकि पीड़ित को छद्म चित्र दिखाया जाता है, हानिकारक फाइलों को सिस्टम की पृष्ठभूमि में चुपचाप निष्पादित किया जाता है। इसके अतिरिक्त, C2 सर्वर से एक और बैच स्क्रिप्ट डाउनलोड की जाती है जो 'CortanaAssistance.exe' नामक पायथन बाइनरी सहित अन्य पेलोड प्राप्त करती है। Microsoft के आभासी सहायक Cortana के उपयोग का अर्थ है कि हमलावरों ने अपने दूषित कोड को एक वैध सिस्टम फ़ाइल के रूप में छिपाने का प्रयास किया हो सकता है।
PY#Ration RAT की हानिकारक क्षमताएं
दो PY#RATION ट्रोजन संस्करणों का पता चला है (संस्करण 1.0 और 1.6)। नए संस्करण में अतिरिक्त कोड की लगभग 1,000 लाइनें शामिल हैं, जो समझौता किए गए नेटवर्क की जांच करने के लिए नेटवर्क स्कैनिंग सुविधाओं को जोड़ता है और फ़र्नेट मॉड्यूल का उपयोग करके पायथन कोड पर एक एन्क्रिप्शन परत है। इसके अलावा, खतरा उल्लंघन किए गए होस्ट से अपने C2 सर्वर और दूसरी तरफ फ़ाइलों को स्थानांतरित कर सकता है।
आरएटी कीस्ट्रोक्स रिकॉर्ड करना, सिस्टम कमांड निष्पादित करना, वेब ब्राउज़र से पासवर्ड और कुकीज़ निकालना, क्लिपबोर्ड डेटा कैप्चर करना और सुरक्षा सॉफ़्टवेयर की उपस्थिति का पता लगाना शुरू कर सकता है। खतरे के कर्ता PY#RATION का उपयोग अन्य खतरों के पेलोड को तैनात करने के लिए एक प्रवेश द्वार के रूप में कर सकते हैं, जैसे कि एक अन्य पायथन-आधारित जानकारी-चोरी करने वाला जो स्पष्ट रूप से वेब ब्राउज़र और क्रिप्टोक्यूरेंसी वॉलेट से डेटा एकत्र करने के लिए बनाया गया है।
