Sconti per licenze multiple
Threat Database Remote Administration Tools RATTO daltonico

RATTO daltonico

Entro Mezo nel Remote Administration Tools, Malware
Traduci in:
Italiano

I ricercatori della sicurezza informatica hanno scoperto un minaccioso pacchetto Python caricato nel Python Package Index (PyPI), contenente un dannoso ladro di informazioni e un trojan ad accesso remoto (RAT). Il pacchetto è stato chiamato "colourfool" ed è stato identificato da un team di ricerca sulla sicurezza, che ha chiamato la stessa minaccia malware "Colour-Blind".

Questo incidente evidenzia la crescente tendenza alla democratizzazione del crimine informatico, in cui gli attori malintenzionati possono facilmente accedere e riutilizzare il codice esistente per le proprie intenzioni. I ricercatori hanno spiegato che la democratizzazione del crimine online potrebbe portare a un panorama di minacce intensificato, poiché gli aggressori possono creare più varianti del loro malware sfruttando il codice proveniente da altri.

Come altri moduli Python canaglia recenti, Colour-Dlind utilizza una tecnica per nascondere il suo codice errato nello script di installazione. Lo script di installazione punta quindi a un payload di archivio ZIP ospitato sulla piattaforma Discord legittima. Ciò consente al malware di eludere il rilevamento da parte di alcune misure di sicurezza tradizionali, rendendone più difficile il rilevamento e la rimozione.

Il RAT daltonico porta il codice per il gioco "Snake".

Il malware utilizza un meccanismo di persistenza che prevede l'aggiunta di uno script Visual Basic (VB) denominato "Essentials. vbs' nella cartella 'Start Up' nel 'Menu Start' dell'utente. All'accesso, lo script VB esegue un file batch di Windows che il malware inserisce nella stessa cartella di "python.exe". Questo file batch avvia il malware utilizzando Python ogni volta che l'utente accede, assicurando che il malware rimanga attivo e presente nel sistema.

Il malware ha una funzione di esfiltrazione di file che sfrutta "transfer[.]sh", un sito Web di trasferimento di file anonimo sempre più popolare tra gli attori delle minacce. Il malware contiene anche codice relativo all'ingegneria sociale, che genera un messaggio di errore che tenta di convincere l'utente a eseguire nuovamente il malware come amministratore. Inoltre, il malware contiene una versione incorporata del gioco "Snake" che sembra essere una copia diretta del codice da un repository GitHub. Tuttavia, questo gioco non ha alcuno scopo apparente e non si avvia quando viene eseguito.

Il malware attiva più processi secondari, che includono thread per la raccolta di cookie, password e portafogli di criptovaluta. Per abilitare il controllo remoto, il malware avvia un'applicazione Web Flask. La minaccia rende quindi l'applicazione accessibile a Internet tramite l'utilità di tunnel inverso di Cloudflare denominata "cloudflared". Utilizzando questo metodo, il malware può aggirare qualsiasi regola del firewall in entrata e mantenere una presenza persistente sul sistema compromesso.

L'ampio set di capacità minacciose trovato nel RAT daltonico

Il Colour-BLind RAT e le sue varie funzionalità dannose possono essere controllate tramite l'applicazione web. La funzione tokens può eseguire il dump dei token di accesso per diverse applicazioni che utilizzano chromium tramite electron.io o chromium direttamente come framework applicativo, che include Discord. La funzione delle password scarica sullo schermo le password estratte dai browser Web, mentre la funzione dei cookie scarica sullo schermo tutti i cookie del browser. La funzione keys scarica i dati acquisiti nei key logger e li mostra sullo schermo.

Tra le funzionalità del RAT c'è anche la funzione delle applicazioni, che fornisce un elenco delle applicazioni attualmente attive e un pulsante per terminarle. La funzione di dump dei dati invia tutti i dati acquisiti all'URL C2. La funzione dello schermo mostra uno screenshot del desktop dell'utente e consente un'interazione rudimentale, come la pressione dei tasti. La minaccia può anche cercare informazioni IP e visualizzarle sullo schermo utilizzando una funzione diversa. Può aprire un browser su una determinata pagina Web ed eseguire comandi tramite il sistema operativo. Le informazioni sul portafoglio di criptovaluta possono essere raccolte dal dispositivo violato tramite la funzione phantom/Metamask.

Tuttavia, Colour-Dlind RAT può eseguire ancora più azioni sui sistemi infetti, come utilizzare l'endpoint /camera per spiare un utente ignaro tramite una webcam. Esistono anche vari endpoint che iniziano con "hvnc", che si occupano di un desktop nascosto creato sulla macchina della vittima. La funzione /hvncmanager consente l'avvio di un browser Web su questo desktop nascosto. La funzione /hvnc viene utilizzata per aprire il desktop nascosto e consente agli attori delle minacce di interagire con esso. La capacità di aprire un browser Web in modo così nascosto può essere sfruttata dagli autori delle minacce per accedere o interagire con gli account Internet della vittima. La funzione /hvncitem consente agli aggressori di eseguire comandi personalizzati sul desktop nascosto tramite la manipolazione del parametro URL "start".

Tendenza

I più visti

Caricamento in corso...