PY#RAZIONE RATTO

Una nuova campagna di attacco è stata catturata allo stato brado. L'operazione minacciosa utilizza un nuovo malware basato su Python soprannominato PY#RATION RAT. Come accade in genere con questi Trojan ad accesso remoto (RAT), PY#RATION dispone di un set completo di funzionalità dannose, tra cui l'esfiltrazione di dati e il keylogging. Ciò che rende questa minaccia particolarmente unica è l'uso di WebSocket sia per la comunicazione e l'esfiltrazione di Command-and-Control (C2, C&C), sia per la sua capacità di eludere il rilevamento da soluzioni anti-malware e misure di sicurezza di rete.

I dettagli sul PY#RATION RAT sono stati rivelati in un rapporto dei ricercatori sulla sicurezza informatica. Secondo le loro scoperte, i criminali informatici dietro la minaccia si concentrano principalmente su obiettivi nel Regno Unito o in Nord America, a giudicare dalle esche di phishing utilizzate come parte dell'attacco.

La catena d'attacco di PY#RATION

L'attacco inizia con un'e-mail di phishing ingannevole contenente un archivio ZIP. All'interno dell'archivio ci sono due file di scorciatoie (.LNK), che si presentano come le immagini fronte e retro di una presunta patente di guida britannica originale. All'apertura di ciascuno di questi file .LNK, due file di testo vengono recuperati da un server remoto e quindi salvati come file .BAT.

Mentre alla vittima vengono mostrate le immagini esca, i file dannosi vengono eseguiti silenziosamente sullo sfondo del sistema. Inoltre, un altro script batch viene scaricato dal server C2 che ottiene altri payload, incluso un binario Python denominato "CortanaAssistance.exe". L'uso di Cortana, l'assistente virtuale di Microsoft, implica che gli aggressori potrebbero aver tentato di mascherare il loro codice corrotto come file di sistema legittimo.

Le capacità dannose di PY#RATION RAT

Sono state rilevate due versioni del trojan PY#RATION (versione 1.0 e 1.6). La versione più recente include quasi 1.000 righe di codice aggiuntivo, che aggiunge funzionalità di scansione della rete per esaminare le reti compromesse e un livello di crittografia sul codice Python utilizzando il modulo fernet. Inoltre, la minaccia può trasferire file dall'host violato al suo server C2 e viceversa.

Il RAT può iniziare a registrare sequenze di tasti, eseguire comandi di sistema, estrarre password e cookie dai browser Web, acquisire dati negli appunti e rilevare la presenza di software di sicurezza. Gli attori delle minacce possono utilizzare PY#RATION come gateway per distribuire i payload di altre minacce, come un altro ladro di informazioni basato su Python creato esplicitamente per raccogliere dati dai browser Web e dai portafogli di criptovaluta.