Színvak RAT

A kiberbiztonsági kutatók a Python Package Indexbe (PyPI) feltöltött, fenyegető Python-csomagot fedeztek fel, amely káros információlopót és távelérési trójai programot (RAT) tartalmaz. A csomagot „colourfool”-nak nevezték el, és egy biztonsági kutatócsoport azonosította, magát a kártevőt „színvak”-nak nevezve.

Ez az incidens rávilágít a demokratizálódott kiberbűnözés növekvő tendenciájára, ahol a rossz gondolkodású szereplők könnyen hozzáférhetnek a meglévő kódhoz, és saját szándékaik szerint újra felhasználhatják azokat. A kutatók kifejtették, hogy az online bûnözés demokratizálódása megnövekedett fenyegetettséghez vezethet, mivel a támadók kártékony programjaik többféle változatát is létrehozhatják másoktól származó kódok felhasználásával.

A többi, gazember Python modulhoz hasonlóan a Colour-Blind is olyan technikát használ, hogy elrejtse rossz kódját a telepítő szkriptben. A telepítő szkript ezután egy ZIP archívumra mutat, amely a törvényes Discord platformon található. Ez lehetővé teszi a rosszindulatú programok számára, hogy néhány hagyományos biztonsági intézkedéssel elkerüljék az észlelést, ami megnehezíti az észlelést és eltávolítást.

A színvak patkány a „Kígyó” játék kódját hordozza

A rosszindulatú program egy perzisztencia mechanizmust használ, amely magában foglalja az „Essentials” nevű Visual Basic (VB) szkript hozzáadását. vbs" a felhasználó "Start menüjének" "Start Up" mappájába. Bejelentkezéskor a VB-szkript végrehajt egy Windows kötegfájlt, amelyet a rosszindulatú program ugyanabba a mappába fecskendez be, mint a „python.exe”. Ez a kötegfájl elindítja a kártevőt a Python használatával minden alkalommal, amikor a felhasználó bejelentkezik, biztosítva, hogy a rosszindulatú program aktív maradjon és jelen legyen a rendszeren.

A rosszindulatú programnak van egy fájlszűrő funkciója, amely kihasználja a „transfer[.]sh” nevű névtelen fájlátviteli webhelyet, amely egyre népszerűbb a fenyegetések szereplői körében. A rosszindulatú program szociális manipulációhoz kapcsolódó kódot is tartalmaz, amely hibaüzenetet generál, amely megpróbálja rávenni a felhasználót, hogy rendszergazdaként futtassa újra a kártevőt. Ezenkívül a rosszindulatú program a „Snake” játék beágyazott verzióját tartalmazza, amely úgy tűnik, hogy egy GitHub-tárhelyből származó kód közvetlen másolata. Ez a játék azonban nem szolgál semmilyen látszólagos célt, és nem indul el, amikor végrehajtják.

A rosszindulatú program több alfolyamatot indít el, amelyek magukban foglalják a cookie-k, jelszavak és kriptovaluta pénztárcák gyűjtésére szolgáló szálakat. A távvezérlés engedélyezéséhez a rosszindulatú program elindít egy Flask webalkalmazást. A fenyegetés ezután elérhetővé teszi az alkalmazást az internet számára a Cloudflare „cloudflared” nevű fordított alagút segédprogramján keresztül. Ezzel a módszerrel a rosszindulatú program megkerülheti a bejövő tűzfalszabályokat, és folyamatosan jelen van a feltört rendszeren.

A fenyegető képességek kiterjedt készlete a színvak RAT-ban

A Colour-BLind RAT és különféle káros funkciói a webalkalmazáson keresztül vezérelhetők. A tokens funkció több olyan alkalmazás bejelentkezési jogkivonatait is kiírhatja, amelyek a krómot használják az electron.io-n keresztül, vagy a chromumot közvetlenül alkalmazás-keretrendszerként használják, beleértve a Discordot is. A jelszavak funkció a webböngészőkből kinyert jelszavakat a képernyőre, míg a cookie funkció az összes böngésző cookie-t a képernyőre írja. A gombok funkció kiírja a rögzített adatokat a billentyűnaplózókra, és megjeleníti a képernyőn.

A RAT lehetőségei közé tartozik az alkalmazások funkció is, amely listát ad az aktuálisan aktív alkalmazásokról, és egy gombbal leállítja azokat. Az adatkiíratási funkció az összes rögzített adatot a C2 URL-re küldi. A képernyő funkció képernyőképet jelenít meg a felhasználó asztaláról, és lehetővé teszi a kezdetleges interakciót, például a gombnyomásokat. A fenyegetés az IP-adatokat is megkeresheti, és egy másik funkció segítségével megjelenítheti a képernyőn. Meg tud nyitni egy böngészőt egy adott weboldalra, és parancsokat futtathat az operációs rendszeren keresztül. A kriptovaluta pénztárca információit a fantom/metamaszk funkción keresztül lehet gyűjteni a feltört eszközről.

A színvak RAT azonban még több műveletet tud végrehajtani a fertőzött rendszereken, például a /camera végpont használatával kémkedhet egy gyanútlan felhasználó után egy webkamerán keresztül. Különféle „hvnc”-vel kezdődő végpontok is léteznek, amelyek az áldozat gépén létrehozott rejtett asztallal foglalkoznak. A /hvncmanager funkció lehetővé teszi a webböngésző elindítását ezen a rejtett asztalon. A /hvnc függvény a rejtett asztal megnyitására szolgál, és lehetővé teszi a fenyegetés szereplői számára, hogy kapcsolatba lépjenek vele. A webböngésző ilyen rejtett módon történő megnyitásának képességét a fenyegetés szereplői kihasználhatják az áldozat internetes fiókjaihoz való hozzáférésre vagy azokkal való interakcióra. A /hvncitem függvény lehetővé teszi a támadók számára, hogy egyéni parancsokat hajtsanak végre a rejtett asztalon a „start” URL-paraméter manipulálásával.