Krāsaklā žurka

Kiberdrošības pētnieki ir atklājuši draudīgu Python pakotni, kas augšupielādēta Python pakotņu indeksā (PyPI), kurā ir kaitīgas informācijas zaglis un attālās piekļuves Trojas zirgs (RAT). Pakotne tika nosaukta par "colourfool", un to identificēja drošības izpētes grupa, kas pašu ļaunprātīgas programmatūras draudus nosauca par "krāsu aklo".

Šis incidents izceļ pieaugošo demokratizētas kibernoziedzības tendenci, kad slikti domājoši dalībnieki var viegli piekļūt esošajam kodam un to izmantot saviem nodomiem. Pētnieki paskaidroja, ka tiešsaistes noziegumu demokratizācija var izraisīt pastiprinātu draudu ainavu, jo uzbrucēji var izveidot vairākus savas ļaunprātīgas programmatūras variantus, izmantojot kodu, kas iegūts no citiem.

Tāpat kā citi jaunākie negodīgie Python moduļi, Colour-Blind izmanto paņēmienu, lai iestatīšanas skriptā noslēptu savu slikto kodu. Pēc tam iestatīšanas skripts norāda uz ZIP arhīva lietderīgo slodzi, kas tiek mitināta likumīgā Discord platformā. Tas ļauj ļaunprātīgai programmatūrai izvairīties no atklāšanas, izmantojot dažus tradicionālos drošības pasākumus, padarot to grūtāk atklāt un noņemt.

Krāsaklā žurka nēsā spēles “Čūska” kodu

Ļaunprātīga programmatūra izmanto noturības mehānismu, kas ietver Visual Basic (VB) skripta ar nosaukumu “Essentials” pievienošanu. vbs uz mapi 'Start Up' lietotāja izvēlnē Sākt. Piesakoties, VB skripts izpilda Windows pakešfailu, ko ļaunprogrammatūra injicē tajā pašā mapē, kurā atrodas “python.exe”. Šis sērijveida fails palaiž ļaunprātīgu programmatūru, izmantojot Python katru reizi, kad lietotājs piesakās, nodrošinot, ka ļaunprātīga programmatūra paliek aktīva un atrodas sistēmā.

Ļaunprātīgajai programmatūrai ir failu eksfiltrācijas funkcija, kas izmanto “transfer[.]sh” — anonīmu failu pārsūtīšanas vietni, kas kļūst arvien populārāka draudu izraisītāju vidū. Ļaunprātīgā programma satur arī kodu, kas saistīts ar sociālo inženieriju, kas ģenerē kļūdas ziņojumu, kas mēģina pārliecināt lietotāju atkārtoti palaist ļaunprātīgo programmatūru kā administratoru. Turklāt ļaunprogrammatūra satur iegultu spēles “Snake” versiju, kas, šķiet, ir tieša koda kopija no GitHub krātuves. Tomēr šai spēlei nav redzams mērķis un tā nesākas, kad tā tiek izpildīta.

Ļaunprātīga programmatūra aktivizē vairākus apakšprocesus, tostarp pavedienus sīkfailu, paroļu un kriptovalūtu maku vākšanai. Lai iespējotu tālvadību, ļaunprogrammatūra palaiž Flask tīmekļa lietojumprogrammu. Pēc tam draudi padara lietojumprogrammu pieejamu internetam, izmantojot Cloudflare reversā tuneļa utilītu ar nosaukumu "cloudflared". Izmantojot šo metodi, ļaunprogrammatūra var apiet visus ienākošā ugunsmūra noteikumus un uzturēt pastāvīgu klātbūtni apdraudētajā sistēmā.

Plašs draudu spēju kopums, kas atrodams krāsainajā Žurkā

Colour-BLind RAT un tā dažādās kaitīgās funkcijas var kontrolēt, izmantojot tīmekļa lietojumprogrammu. Tokenu funkcija var izmest pieteikšanās pilnvaras vairākām lietojumprogrammām, kas izmanto hromu, izmantojot elektronu.io vai chromium tieši kā lietojumprogrammu sistēmu, kurā ietilpst Discord. Paroļu funkcija izlādē no tīmekļa pārlūkprogrammām iegūtās paroles uz ekrānu, savukārt sīkfailu funkcija visus pārlūkprogrammas sīkfailus izmet ekrānā. Taustiņu funkcija izmet uzņemtos datus taustiņu reģistrētājiem un parāda tos ekrānā.

Starp RAT iespējām ir arī lietojumprogrammu funkcija, kas nodrošina pašlaik aktīvo lietojumprogrammu sarakstu un pogu, lai tās pārtrauktu. Datu izgāztuves funkcija nosūta visus uzņemtos datus uz C2 URL. Ekrāna funkcija parāda lietotāja darbvirsmas ekrānuzņēmumu un nodrošina elementāru mijiedarbību, piemēram, taustiņu nospiešanu. Draudi var arī meklēt IP informāciju un parādīt to ekrānā, izmantojot citu funkciju. Tas var atvērt pārlūkprogrammu konkrētai tīmekļa lapai un palaist komandas, izmantojot operētājsistēmu. Kriptovalūtas maka informāciju var iegūt no bojātās ierīces, izmantojot funkciju fantoma/metamask.

Tomēr Colour-Blind RAT var veikt vēl vairāk darbību inficētajās sistēmās, piemēram, izmantot /camera galapunktu, lai ar tīmekļa kameru izspiegotu nenojaušot lietotāju. Ir arī dažādi galapunkti, kas sākas ar “hvnc”, kas attiecas uz slēptu darbvirsmu, kas izveidota upura datorā. Funkcija /hvncmanager ļauj startēt tīmekļa pārlūkprogrammu šajā slēptajā darbvirsmā. Funkcija /hvnc tiek izmantota, lai atvērtu slēpto darbvirsmu, un tā ļauj draudu dalībniekiem ar to mijiedarboties. Iespēju atvērt tīmekļa pārlūkprogrammu šādā slēptā veidā apdraudējuma dalībnieki var izmantot, lai piekļūtu upura interneta kontiem vai mijiedarbotos ar tiem. Funkcija /hvncitem ļauj uzbrucējiem izpildīt pielāgotas komandas slēptajā darbvirsmā, manipulējot ar URL parametru "sākt".