PY#RATION ROTTE

En ny angrepskampanje har blitt fanget i naturen. Den truende operasjonen bruker en ny Python-basert skadelig programvare kalt PY#RATION RAT. Som vanligvis er tilfellet med disse Remote Access Trojans (RAT), har PY#RATION et omfattende sett med skadelige funksjoner, inkludert dataeksfiltrering og tastelogging. Det som gjør denne trusselen spesielt unik, er bruken av WebSockets for både Command-and-Control (C2, C&C) kommunikasjon og eksfiltrering, samt dens evne til å unngå oppdagelse fra anti-malware-løsninger og nettverkssikkerhetstiltak.

Detaljene om PY#RATION RAT har blitt avslørt i en rapport fra cybersikkerhetsforskere. Ifølge funnene deres er nettkriminelle bak trusselen hovedsakelig fokusert på mål i Storbritannia eller Nord-Amerika, å dømme etter phishing-lokkene som ble brukt som en del av angrepet.

Angrepskjeden til PY#RATION

Angrepet begynner med en villedende phishing-e-post som inneholder et ZIP-arkiv. Inne i arkivet er det to snarveier (.LNK) filer, som poserer som for- og bakbilder av et antatt ekte britisk førerkort. Når hver av disse .LNK-filene åpnes, hentes to tekstfiler fra en ekstern server og lagres deretter som .BAT-filer.

Mens offeret blir vist lokkebildene, kjøres de skadelige filene stille i systemets bakgrunn. I tillegg lastes et annet batchskript ned fra C2-serveren som henter andre nyttelaster, inkludert en Python-binær kalt 'CortanaAssistance.exe.' Bruken av Cortana, Microsofts virtuelle assistent, innebærer at angriperne kan ha forsøkt å skjule den korrupte koden som en legitim systemfil.

PY#RATION RATs skadelige egenskaper

To PY#RATION trojanske versjoner er oppdaget (versjon 1.0 og 1.6). Den nyere versjonen inkluderer nesten 1000 linjer med tilleggskode, som legger til nettverksskanningsfunksjoner for å undersøke kompromitterte nettverk og et krypteringslag over Python-koden ved å bruke fernet-modulen. I tillegg kan trusselen overføre filer fra den brutte verten til C2-serveren og omvendt.

RAT kan begynne å registrere tastetrykk, utføre systemkommandoer, trekke ut passord og informasjonskapsler fra nettlesere, fange utklippstavledata og oppdage tilstedeværelsen av sikkerhetsprogramvare. Trusselaktørene kan bruke PY#RATION som en inngangsport for å distribuere nyttelastene til andre trusler, for eksempel en annen Python-basert info-tyver som er eksplisitt opprettet for å høste data fra nettlesere og kryptovaluta-lommebøker.