TIKUS Buta Warna

Penyelidik keselamatan siber telah menemui pakej Python mengancam yang dimuat naik ke Indeks Pakej Python (PyPI), yang mengandungi pencuri maklumat berbahaya dan Trojan Akses Jauh (RAT). Pakej itu dinamakan 'colourfool' dan telah dikenal pasti oleh pasukan penyelidik keselamatan, yang menamakan ancaman perisian hasad itu sendiri sebagai 'Buta Warna.'

Insiden ini menyerlahkan trend jenayah siber yang didemokrasikan yang semakin meningkat, di mana pelakon yang tidak berfikiran boleh dengan mudah mengakses dan menggunakan semula kod sedia ada untuk niat mereka sendiri. Para penyelidik menjelaskan bahawa pendemokrasian jenayah dalam talian boleh membawa kepada landskap ancaman yang diperhebat, kerana penyerang boleh mencipta pelbagai varian perisian hasad mereka dengan memanfaatkan kod yang diperoleh daripada orang lain.

Seperti modul Python penyangak baru-baru ini, Buta Warna menggunakan teknik untuk menyembunyikan kod buruknya dalam skrip persediaan. Skrip persediaan kemudiannya menunjuk kepada muatan arkib ZIP yang dihoskan pada platform Discord yang sah. Ini membolehkan perisian hasad mengelak pengesanan oleh beberapa langkah keselamatan tradisional, menjadikannya lebih sukar untuk dikesan dan dialih keluar.

TIKUS Buta Warna Membawa Kod untuk Permainan 'Ular'

Malware menggunakan mekanisme kegigihan yang melibatkan penambahan skrip Visual Basic (VB) bernama 'Essentials. vbs' ke folder 'Start Up' dalam 'Start Menu' pengguna. Selepas log masuk, skrip VB melaksanakan fail kelompok Windows yang disuntik oleh perisian hasad dalam folder yang sama seperti 'python.exe.' Fail kelompok ini memulakan perisian hasad menggunakan Python setiap kali pengguna log masuk, memastikan perisian hasad kekal aktif dan hadir pada sistem.

Malware mempunyai fungsi exfiltration fail yang memanfaatkan 'transfer[.]sh,' sebuah tapak web pemindahan fail tanpa nama yang semakin popular di kalangan pelaku ancaman. Perisian hasad juga mengandungi kod yang berkaitan dengan kejuruteraan sosial, yang menjana mesej ralat yang cuba memujuk pengguna untuk menjalankan semula perisian hasad sebagai pentadbir. Selain itu, perisian hasad mengandungi versi terbenam permainan 'Ular' yang kelihatan seperti salinan langsung kod daripada repositori GitHub. Walau bagaimanapun, permainan ini tidak mempunyai tujuan yang jelas dan tidak bermula apabila dilaksanakan.

Perisian hasad mencetuskan berbilang subproses, yang termasuk urutan untuk mengumpul kuki, kata laluan dan dompet mata wang kripto. Untuk mendayakan alat kawalan jauh, perisian hasad memulakan aplikasi web Flask. Ancaman itu kemudian menjadikan aplikasi itu boleh diakses ke internet melalui utiliti terowong terbalik Cloudflare bernama 'cloudflared.' Dengan menggunakan kaedah ini, perisian hasad boleh memintas sebarang peraturan tembok api masuk dan mengekalkan kehadiran berterusan pada sistem yang terjejas.

Set Keupayaan Mengancam Yang Luas Ditemui dalam TIKUS Buta Warna

RAT-BLind Warna dan pelbagai fungsi berbahayanya boleh dikawal melalui aplikasi Web. Fungsi token boleh membuang token log masuk untuk beberapa aplikasi yang menggunakan kromium melalui electron.io atau kromium secara langsung sebagai rangka kerja aplikasi, yang termasuk Discord. Fungsi kata laluan membuang kata laluan yang diekstrak daripada pelayar web ke skrin, manakala fungsi kuki membuang semua kuki penyemak imbas ke skrin. Fungsi kekunci membuang data yang ditangkap ke pembalak kunci dan menunjukkannya pada skrin.

Antara keupayaan RAT juga ialah fungsi aplikasi, yang menyediakan senarai aplikasi yang sedang aktif dan butang untuk menamatkannya. Fungsi pembuangan data menghantar semua data yang ditangkap ke URL C2. Fungsi skrin menunjukkan tangkapan skrin desktop pengguna dan membenarkan interaksi asas, seperti menekan kekunci. Ancaman juga boleh mencari maklumat IP dan memaparkannya pada skrin menggunakan fungsi yang berbeza. Ia boleh membuka pelayar ke halaman web tertentu dan menjalankan arahan melalui sistem pengendalian. Maklumat dompet Cryptocurrency boleh dituai daripada peranti yang dilanggar melalui fungsi hantu/Metamask.

Walau bagaimanapun, RAT Buta Warna boleh melakukan lebih banyak tindakan pada sistem yang dijangkiti, seperti menggunakan titik akhir /camera untuk mengintip pengguna yang tidak curiga melalui kamera web. Terdapat juga pelbagai titik akhir bermula dengan 'hvnc,' yang berurusan dengan desktop tersembunyi yang dibuat pada mesin mangsa. Fungsi /hvncmanager membenarkan permulaan pelayar Web pada desktop tersembunyi ini. Fungsi /hvnc digunakan untuk membuka desktop tersembunyi dan ia membolehkan pelaku ancaman berinteraksi dengannya. Keupayaan untuk membuka penyemak imbas web dengan cara tersembunyi sedemikian boleh dieksploitasi oleh pelaku ancaman untuk mengakses atau berinteraksi dengan akaun internet mangsa. Fungsi /hvncitem membolehkan penyerang melaksanakan perintah tersuai pada desktop tersembunyi melalui manipulasi parameter URL 'mula'.