PY#RATION RAT

Új támadási kampányt fogtak el a vadonban. A fenyegető művelet egy új, Python-alapú kártevőt, a PY#RATION RAT-t használ. Mint általában ezeknél a távelérési trójai programoknál (RAT), a PY#RATION számos káros képességgel rendelkezik, beleértve az adatok kiszűrését és a billentyűnaplózást. Ami ezt a fenyegetést különösen egyedivé teszi, az a WebSockets használata a Command-and-Control (C2, C&C) kommunikációhoz és kiszűréshez, valamint az, hogy képes elkerülni a rosszindulatú szoftverek elleni megoldások és a hálózati biztonsági intézkedések észlelését.

A PY#RATION RAT részleteit kiberbiztonsági kutatók tárták fel egy jelentésben. Megállapításaik szerint a fenyegetés mögött álló kiberbűnözők főként az Egyesült Királyságban vagy Észak-Amerikában található célpontokra koncentrálnak, a támadás részeként használt adathalász csalikból ítélve.

A PY#RATION támadási lánca

A támadás egy megtévesztő adathalász e-maillel kezdődik, amely ZIP-archívumot tartalmaz. Az archívumban két parancsikon (.LNK) fájl található, amelyek egy állítólag valódi brit jogosítvány első és hátsó képeként jelennek meg. Ezen .LNK fájlok mindegyikének megnyitásakor két szöveges fájl kerül lekérésre egy távoli szerverről, majd .BAT fájlként mentődik.

Amíg az áldozatnak láthatók a csali képek, a káros fájlok csendben végrehajtásra kerülnek a rendszer hátterében. Ezenkívül egy másik kötegelt parancsfájl is letöltődik a C2-kiszolgálóról, amely más hasznos adatokat is beszerez, beleértve a „CortanaAssistance.exe” nevű Python-binárist. A Cortana, a Microsoft virtuális asszisztense használata arra utal, hogy a támadók megpróbálhatták legitim rendszerfájlnak álcázni sérült kódjukat.

A PY#RATION RAT bántó képességei

A rendszer két PY#RATION trójai verziót észlelt (1.0 és 1.6). Az újabb verzió közel 1000 sornyi további kódot tartalmaz, amely hálózati szkennelési funkciókat ad a kompromittált hálózatok vizsgálatához, valamint egy titkosítási réteget a Python kód felett a fernet modul segítségével. Ezenkívül a fenyegetés átviheti a fájlokat a megsértett gazdagépről a C2-kiszolgálóra, és fordítva.

A RAT megkezdheti a billentyűleütések rögzítését, a rendszerparancsok végrehajtását, a jelszavak és cookie-k kinyerését a webböngészőkből, rögzítheti a vágólap adatait és észlelheti a biztonsági szoftverek jelenlétét. A fenyegetés szereplői a PY#RATION-ot átjáróként használhatják más fenyegetések hasznos terheinek telepítéséhez, például egy másik Python-alapú információlopóhoz, amelyet kifejezetten a webböngészőkből és a kriptovaluta pénztárcákból való adatgyűjtésre hoztak létre.