Spalvoti žiurkės

Kibernetinio saugumo tyrinėtojai aptiko grėsmingą Python paketą, įkeltą į Python Package Index (PyPI), kuriame yra žalingos informacijos vagis ir nuotolinės prieigos Trojos arklys (RAT). Paketas buvo pavadintas „colourfool“ ir jį identifikavo saugumo tyrimų komanda, kuri pati kenkėjiškų programų grėsmę pavadino „spalva akla“.

Šis incidentas išryškina augančią demokratizuoto elektroninio nusikaltimo tendenciją, kai netinkamai mąstantys veikėjai gali lengvai pasiekti ir panaudoti esamą kodą savo ketinimams. Tyrėjai paaiškino, kad internetinio nusikaltimo demokratizavimas gali paskatinti sustiprėjusią grėsmę, nes užpuolikai gali sukurti kelis savo kenkėjiškų programų variantus, panaudodami iš kitų gautą kodą.

Kaip ir kiti naujausi „Python“ moduliai, „Colour-Blind“ naudoja techniką, kad nuslėptų savo blogą kodą sąrankos scenarijuje. Tada sąrankos scenarijus nurodo ZIP archyvo naudingąją apkrovą, kuri yra priglobta teisėtoje Discord platformoje. Tai leidžia kenkėjiškajai programai išvengti aptikimo naudojant kai kurias tradicines saugos priemones, todėl ją sunkiau aptikti ir pašalinti.

Spalvoti žiurkė turi žaidimo „Gyvatė“ kodą

Kenkėjiška programa naudoja išlikimo mechanizmą, kuris apima „Visual Basic“ (VB) scenarijaus, pavadinto „Essentials“, pridėjimą. vbs“ į aplanką „Start Up“, esantį vartotojo meniu „Pradėti“. Prisijungus VB scenarijus vykdo „Windows“ paketinį failą, kurį kenkėjiška programa įveda į tą patį aplanką kaip „python.exe“. Šis paketinis failas paleidžia kenkėjišką programą naudodamas Python kiekvieną kartą, kai vartotojas prisijungia, užtikrindamas, kad kenkėjiška programa išliktų aktyvi ir būtų sistemoje.

Kenkėjiška programinė įranga turi failų išfiltravimo funkciją, kuri naudoja „transfer[.]sh“ – anoniminę failų persiuntimo svetainę, kuri vis labiau populiarėja tarp grėsmių subjektų. Kenkėjiška programinė įranga taip pat turi kodą, susijusį su socialine inžinerija, kuri generuoja klaidos pranešimą, kuriuo bandoma įtikinti vartotoją iš naujo paleisti kenkėjišką programą kaip administratorių. Be to, kenkėjiškoje programoje yra įterptoji žaidimo „Snake“ versija, kuri, atrodo, yra tiesioginė kodo kopija iš „GitHub“ saugyklos. Tačiau šis žaidimas neturi jokio akivaizdaus tikslo ir neprasideda jį įvykdžius.

Kenkėjiška programa suaktyvina kelis antrinius procesus, įskaitant slapukų rinkimo gijas, slaptažodžius ir kriptovaliutų pinigines. Norėdami įjungti nuotolinį valdymą, kenkėjiška programa paleidžia „Flask“ žiniatinklio programą. Dėl grėsmės programa tampa prieinama internetui naudojant „Cloudflare“ atvirkštinio tunelio programą, pavadintą „Cloudflared“. Naudodama šį metodą, kenkėjiška programa gali apeiti visas gaunamas ugniasienės taisykles ir nuolat būti pažeistoje sistemoje.

Platus grėsmę keliančių galimybių rinkinys, randamas daltonaklėje žiurkėje

Colour-BLind RAT ir įvairias kenksmingas jo funkcijas galima valdyti naudojant žiniatinklio programą. Žetonų funkcija gali iškelti kelių programų, kurios naudoja chromą per electronic.io arba chromą tiesiogiai kaip programos sistemą, kuri apima „Discord“, prisijungimo prieigos raktus. Slaptažodžių funkcija iš interneto naršyklių ištraukia slaptažodžius į ekraną, o slapukų funkcija visus naršyklės slapukus iškelia į ekraną. Klavišų funkcija iškelia užfiksuotus duomenis į klavišų kaupiklius ir parodo juos ekrane.

Tarp RAT galimybių taip pat yra programų funkcija, kuri pateikia šiuo metu aktyvių programų sąrašą ir mygtuką jas nutraukti. Duomenų iškrovimo funkcija siunčia visus užfiksuotus duomenis į C2 URL. Ekrano funkcija rodo vartotojo darbalaukio ekrano kopiją ir leidžia atlikti elementarias sąveikas, pvz., paspausti klavišus. Grėsmė taip pat gali ieškoti IP informacijos ir rodyti ją ekrane naudodama kitą funkciją. Jis gali atidaryti tam tikro tinklalapio naršyklę ir paleisti komandas per operacinę sistemą. Kriptovaliutos piniginės informaciją galima surinkti iš pažeisto įrenginio naudojant fantomo / metamasko funkciją.

Tačiau Colour-Blind RAT gali atlikti dar daugiau veiksmų užkrėstose sistemose, pavyzdžiui, naudoti /camera galinį tašką, kad šnipinėtų nieko neįtariantį vartotoją per interneto kamerą. Taip pat yra įvairių galinių taškų, prasidedančių „hvnc“, kurie susiję su paslėptu darbalaukiu, sukurtu aukos kompiuteryje. Funkcija /hvncmanager leidžia paleisti žiniatinklio naršyklę šiame paslėptame darbalaukyje. Funkcija /hvnc naudojama paslėptam darbalaukiui atidaryti ir leidžia grėsmės veikėjams su juo sąveikauti. Galimybę atidaryti interneto naršyklę tokiu paslėptu būdu gali išnaudoti grėsmės veikėjai, norėdami pasiekti aukos interneto paskyras arba su jomis bendrauti. Funkcija /hvncitem leidžia užpuolikams vykdyti pasirinktines komandas paslėptame darbalaukyje, manipuliuojant URL parametru „start“.