ŠTAKOR slijep za boje

Istraživači kibernetičke sigurnosti otkrili su prijeteći Python paket prenesen na Python Package Index (PyPI), koji sadrži štetnog kradljivca informacija i trojanca za udaljeni pristup (RAT). Paket je nazvan 'colourfool', a identificirao ga je sigurnosni istraživački tim, koji je samu prijetnju zlonamjernog softvera nazvao 'Colour-Blind'.

Ovaj incident naglašava rastući trend demokratiziranog kibernetičkog kriminala, gdje zlonamjerni akteri mogu lako pristupiti i prenamijeniti postojeći kod za svoje vlastite namjere. Istraživači su objasnili da bi demokratizacija online kriminala mogla dovesti do intenzivnijeg okruženja prijetnji, jer napadači mogu stvoriti više varijanti svog zlonamjernog softvera korištenjem koda koji potječe od drugih.

Kao i drugi nedavni lažni Python moduli, Colour-Blind koristi tehniku za prikrivanje lošeg koda u skripti za postavljanje. Skripta za postavljanje zatim ukazuje na sadržaj ZIP arhive koji se nalazi na legitimnoj Discord platformi. To omogućuje zlonamjernom softveru da izbjegne otkrivanje nekim tradicionalnim sigurnosnim mjerama, što ga čini težim za otkrivanje i uklanjanje.

ŠTAKOR slijep za boje nosi kod za igru 'Zmija'

Zlonamjerni softver koristi mehanizam postojanosti koji uključuje dodavanje Visual Basic (VB) skripte pod nazivom 'Essentials. vbs' u mapu 'Start Up' u korisničkom 'Izborniku Start'. Nakon prijave, VB skripta izvršava paketnu datoteku sustava Windows koju zlonamjerni softver ubacuje u istu mapu kao i 'python.exe'. Ova batch datoteka pokreće zlonamjerni softver koristeći Python svaki put kada se korisnik prijavi, osiguravajući da zlonamjerni softver ostane aktivan i prisutan u sustavu.

Zlonamjerni softver ima funkciju eksfiltracije datoteka koja koristi 'transfer[.]sh,' anonimnu web stranicu za prijenos datoteka koja je sve popularnija među akterima prijetnji. Zlonamjerni softver također sadrži kod povezan s društvenim inženjeringom, koji generira poruku o pogrešci koja pokušava uvjeriti korisnika da ponovno pokrene zlonamjerni softver kao administrator. Dodatno, zlonamjerni softver sadrži ugrađenu verziju igre 'Snake' koja se čini kao izravna kopija koda iz GitHub repozitorija. Međutim, ova igra ne služi nikakvoj očitoj svrsi i ne pokreće se kada se izvrši.

Zlonamjerni softver pokreće više podprocesa, koji uključuju niti za prikupljanje kolačića, lozinki i novčanika kriptovalute. Kako bi omogućio daljinsko upravljanje, zlonamjerni softver pokreće web aplikaciju Flask. Prijetnja zatim čini aplikaciju dostupnom internetu putem Cloudflareovog uslužnog programa za obrnuti tunel pod nazivom 'cloudflared'. Koristeći ovu metodu, zlonamjerni softver može zaobići sva ulazna pravila vatrozida i održati stalnu prisutnost na ugroženom sustavu.

Ekspanzivan skup prijetećih sposobnosti pronađenih u daltonistu RAT

Colour-Blind RAT i njegove razne štetne funkcije mogu se kontrolirati putem web aplikacije. Funkcija tokena može izbaciti tokene za prijavu za nekoliko aplikacija koje koriste krom putem electron.io ili krom izravno kao aplikacijski okvir, što uključuje Discord. Funkcija lozinki izbacuje ekstrahirane lozinke iz web preglednika na zaslon, dok funkcija kolačića izbacuje sve kolačiće preglednika na zaslon. Funkcija tipki izbacuje snimljene podatke u key loggere i prikazuje ih na zaslonu.

Među mogućnostima RAT-a je i funkcija aplikacija, koja pruža popis trenutno aktivnih aplikacija i gumb za njihovo prekidanje. Funkcija ispisa podataka šalje sve snimljene podatke na C2 URL. Funkcija zaslona prikazuje snimku zaslona korisnikove radne površine i omogućuje rudimentarnu interakciju, poput pritiska na tipke. Prijetnja također može potražiti podatke o IP-u i prikazati ih na zaslonu koristeći drugu funkciju. Može otvoriti preglednik do određene web stranice i pokretati naredbe putem operativnog sustava. Informacije novčanika kriptovalute mogu se prikupiti s oštećenog uređaja putem funkcije fantoma/metamaske.

Međutim, daltonistički RAT može izvesti čak i više radnji na zaraženim sustavima, poput upotrebe krajnje točke /camera za špijuniranje korisnika koji ništa ne sumnja putem web kamere. Postoje i razne krajnje točke koje počinju s 'hvnc', a bave se skrivenom radnom površinom stvorenom na žrtvinom računalu. Funkcija /hvncmanager omogućuje pokretanje web preglednika na ovoj skrivenoj radnoj površini. Funkcija /hvnc koristi se za otvaranje skrivene radne površine i omogućuje akterima prijetnje interakciju s njom. Sposobnost otvaranja web preglednika na tako skriven način akteri prijetnji mogu iskoristiti za pristup ili interakciju s internetskim računima žrtve. Funkcija /hvncitem omogućuje napadačima izvršavanje prilagođenih naredbi na skrivenoj radnoj površini putem manipulacije URL parametra 'start'.