Fargeblind RATTE

Cybersikkerhetsforskere har avdekket en truende Python-pakke lastet opp til Python Package Index (PyPI), som inneholder en skadelig informasjonstyver og Remote Access Trojan (RAT). Pakken ble kalt 'colourfool' og ble identifisert av et sikkerhetsforskningsteam, som kalte selve skadevaretrusselen 'Colour-Blind'.

Denne hendelsen fremhever den økende trenden med demokratisert nettkriminalitet, der dårlige aktører enkelt kan få tilgang til og bruke eksisterende kode for sine egne intensjoner. Forskerne forklarte at demokratisering av nettkriminalitet kan føre til et intensivert trussellandskap, ettersom angripere kan lage flere varianter av skadevare ved å utnytte kode hentet fra andre.

Som andre nyere useriøse Python-moduler, bruker Colour-Blind en teknikk for å skjule den dårlige koden i oppsettskriptet. Oppsettskriptet peker deretter til en ZIP-arkivnyttelast som ligger på den legitime Discord-plattformen. Dette gjør at skadelig programvare kan unngå oppdagelse ved hjelp av noen tradisjonelle sikkerhetstiltak, noe som gjør det vanskeligere å oppdage og fjerne.

Den fargeblinde RAT bærer koden for 'Snake'-spillet

Skadevaren bruker en utholdenhetsmekanisme som innebærer å legge til et Visual Basic (VB)-skript kalt 'Essentials'. vbs' til 'Start Up'-mappen i brukerens 'Start-meny'. Ved pålogging kjører VB-skriptet en Windows-batchfil som skadelig programvare injiserer i samme mappe som 'python.exe'. Denne batchfilen starter skadelig programvare ved å bruke Python hver gang brukeren logger på, og sikrer at skadevaren forblir aktiv og tilstede på systemet.

Skadevaren har en fileksfiltreringsfunksjon som utnytter «transfer[.]sh», et anonymt nettsted for filoverføring som blir stadig mer populært blant trusselaktører. Skadevaren inneholder også kode relatert til social engineering, som genererer en feilmelding som prøver å overtale brukeren til å kjøre skadevaren på nytt som administrator. I tillegg inneholder skadelig programvare en innebygd versjon av 'Snake'-spillet som ser ut til å være en direkte kopi av kode fra et GitHub-lager. Dette spillet tjener imidlertid ingen tilsynelatende formål og starter ikke når det kjøres.

Skadevaren utløser flere underprosesser, som inkluderer tråder for innsamling av informasjonskapsler, passord og kryptovaluta-lommebøker. For å aktivere fjernkontroll starter skadelig programvare en Flask-nettapplikasjon. Trusselen gjør deretter applikasjonen tilgjengelig for internett via Cloudflares omvendte tunnelverktøy kalt 'cloudflared'. Ved å bruke denne metoden kan skadelig programvare omgå alle innkommende brannmurregler og opprettholde en vedvarende tilstedeværelse på det kompromitterte systemet.

Det omfattende settet med truende egenskaper som finnes i den fargeblinde RAT

Colour-BLind RAT og dens ulike skadelige funksjoner kan kontrolleres via webapplikasjonen. Token-funksjonen kan dumpe påloggingstokener for flere applikasjoner som bruker krom via electron.io eller krom direkte som et applikasjonsrammeverk, som inkluderer Discord. Passordfunksjonen dumper utpakkede passord fra nettlesere til skjermen, mens informasjonskapsler-funksjonen dumper alle nettleserinformasjonskapsler til skjermen. Tastefunksjonen dumper innfangede data til nøkkelloggere og viser dem på skjermen.

Blant funksjonene til RAT er også applikasjonsfunksjonen, som gir en liste over aktive applikasjoner og en knapp for å avslutte dem. Datadump-funksjonen sender alle innfangede data til C2 URL. Skjermfunksjonen viser et skjermbilde av brukerens skrivebord og gir mulighet for rudimentær interaksjon, for eksempel tastetrykk. Trusselen kan også slå opp IP-informasjon og vise den på skjermen ved hjelp av en annen funksjon. Den kan åpne en nettleser til en gitt nettside og kjøre kommandoer via operativsystemet. Informasjon om kryptovaluta-lommeboken kan hentes inn fra enheten som brytes via fantom-/metamask-funksjonen.

Imidlertid kan Colour-Blind RAT utføre enda flere handlinger på de infiserte systemene, for eksempel å bruke endepunktet /camera for å spionere på en intetanende bruker via et webkamera. Det er også forskjellige endepunkter som starter med 'hvnc', som omhandler et skjult skrivebord opprettet på offerets maskin. /hvncmanager-funksjonen gjør det mulig å starte en nettleser på dette skjulte skrivebordet. /hvnc-funksjonen brukes til å åpne det skjulte skrivebordet og lar trusselaktørene samhandle med det. Muligheten til å åpne en nettleser på en slik skjult måte kan utnyttes av trusselaktørene til å få tilgang til eller samhandle med offerets internettkontoer. /hvncitem-funksjonen gjør det mulig for angriperne å utføre egendefinerte kommandoer på det skjulte skrivebordet via manipulering av URL-parameteren 'start'.