PY#RACIONI ŠTAKOR

Nova kampanja napada je uhvaćena u divljini. Prijeteća operacija koristi novi malware temeljen na Pythonu nazvan PY#RATION RAT. Kao što je to obično slučaj s ovim trojancima s udaljenim pristupom (RAT), PY#RATION ima opsežan skup štetnih mogućnosti, uključujući ekstrakciju podataka i keylogging. Ono što ovu prijetnju čini posebno jedinstvenom je njezina upotreba WebSockets-a i za Command-and-Control (C2, C&C) komunikaciju i eksfiltraciju, kao i njezina sposobnost da izbjegne otkrivanje rješenja protiv zlonamjernog softvera i mrežnih sigurnosnih mjera.

Pojedinosti o PY#RATION RAT-u otkrivene su u izvješću istraživača kibernetičke sigurnosti. Prema njihovim nalazima, kibernetički kriminalci koji stoje iza prijetnje fokusirani su uglavnom na mete u Velikoj Britaniji ili Sjevernoj Americi, sudeći prema mamcima za krađu identiteta koji se koriste kao dio napada.

Lanac napada PY#RATION-a

Napad započinje lažnom phishing e-poštom koja sadrži ZIP arhivu. Unutar arhive nalaze se dvije datoteke prečaca (.LNK), koje predstavljaju prednju i stražnju sliku navodno originalne britanske vozačke dozvole. Nakon otvaranja svake od ovih .LNK datoteka, dvije tekstualne datoteke se dohvaćaju s udaljenog poslužitelja i zatim spremaju kao .BAT datoteke.

Dok se žrtvi prikazuju slike mamca, štetne se datoteke tiho pokreću u pozadini sustava. Osim toga, s C2 poslužitelja preuzima se još jedna skupna skripta koja dobiva druge korisne podatke, uključujući Python binarnu datoteku pod nazivom "CortanaAssistance.exe". Korištenje Cortane, Microsoftovog virtualnog pomoćnika, implicira da su napadači možda pokušali prikriti svoj oštećeni kod kao legitimnu sistemsku datoteku.

PY#RATION RAT-ove štetne sposobnosti

Otkrivene su dvije verzije PY#RATION Trojan (verzija 1.0 i 1.6). Novija verzija uključuje gotovo 1000 redaka dodatnog koda, koji dodaje značajke mrežnog skeniranja za ispitivanje kompromitiranih mreža i enkripcijski sloj preko Python koda pomoću fernet modula. Osim toga, prijetnja može prenijeti datoteke s probijenog hosta na njegov C2 poslužitelj i obrnuto.

RAT može početi bilježiti pritiske tipki, izvršavati sistemske naredbe, izdvajati lozinke i kolačiće iz web preglednika, snimati podatke međuspremnika i detektirati prisutnost sigurnosnog softvera. Akteri prijetnji mogu koristiti PY#RATION kao pristupnik za implementaciju tereta drugih prijetnji, kao što je drugi kradljivac informacija temeljen na Pythonu koji je eksplicitno stvoren za prikupljanje podataka iz web preglednika i novčanika kriptovaluta.