कलर-ब्लाइन्ड RAT
साइबरसुरक्षा अनुसन्धानकर्ताहरूले पाइथन प्याकेज इन्डेक्स (PyPI) मा अपलोड गरिएको एक खतरनाक पाइथन प्याकेज पत्ता लगाएका छन्, जसमा हानिकारक जानकारी चोर्ने र रिमोट एक्सेस ट्रोजन (RAT) समावेश छ। प्याकेजलाई 'colourfool' नाम दिइएको थियो र सुरक्षा अनुसन्धान टोलीद्वारा पहिचान गरिएको थियो, जसले मालवेयर खतरालाई 'रङ-अन्धो' नाम दिएको थियो।
यस घटनाले प्रजातान्त्रिक साइबर अपराधको बढ्दो प्रवृत्तिलाई हाइलाइट गर्दछ, जहाँ खराब दिमागका अभिनेताहरूले सजिलैसँग पहुँच गर्न सक्छन् र तिनीहरूको आफ्नै मनसायको लागि अवस्थित कोडलाई पुन: प्रयोग गर्न सक्छन्। अन्वेषकहरूले व्याख्या गरे कि अनलाइन अपराधको प्रजातान्त्रिकीकरणले तीव्र खतरा परिदृश्य निम्त्याउन सक्छ, किनकि आक्रमणकारीहरूले अरूबाट प्राप्त कोडको लाभ उठाएर तिनीहरूको मालवेयरको धेरै प्रकारहरू सिर्जना गर्न सक्छन्।
हालैका अन्य दुष्ट पाइथन मोड्युलहरू जस्तै, कलर-ब्लाइन्डले सेटअप स्क्रिप्टमा यसको खराब कोड लुकाउन प्रविधि प्रयोग गर्दछ। सेटअप स्क्रिप्टले त्यसपछि जिप अभिलेख पेलोडलाई औंल्याउँछ जुन वैध Discord प्लेटफर्ममा होस्ट गरिएको छ। यसले मालवेयरलाई केही परम्परागत सुरक्षा उपायहरूद्वारा पत्ता लगाउनबाट बच्न अनुमति दिन्छ, यसले पत्ता लगाउन र हटाउन अझ गाह्रो बनाउँछ।
कलर-ब्लाइन्ड RAT ले 'Snake' खेलको लागि कोड बोक्छ
मालवेयरले एक दृढता संयन्त्र प्रयोग गर्दछ जसमा 'आवश्यक' नामको भिजुअल बेसिक (VB) स्क्रिप्ट थप्नु समावेश छ। vbs' प्रयोगकर्ताको 'स्टार्ट मेनु' मा 'स्टार्ट अप' फोल्डरमा। लगइन गरेपछि, VB स्क्रिप्टले Windows ब्याच फाइललाई कार्यान्वयन गर्छ जुन मालवेयरले 'python.exe' को रूपमा उही फोल्डरमा इन्जेक्ट गर्छ। यो ब्याच फाइलले प्रत्येक पटक प्रयोगकर्ता लग इन गर्दा पाइथन प्रयोग गरेर मालवेयर सुरु गर्छ, यो सुनिश्चित गर्दै कि मालवेयर सक्रिय र प्रणालीमा अवस्थित छ।
मालवेयरसँग एउटा फाइल एक्सफिल्टेशन प्रकार्य छ जसले 'स्थानान्तरण[.]sh,' एक अज्ञात फाइल स्थानान्तरण वेबसाइटको लाभ उठाउँदछ जुन खतरा अभिनेताहरू बीच बढ्दो लोकप्रिय छ। मालवेयरले सामाजिक इन्जिनियरिङसँग सम्बन्धित कोड पनि समावेश गर्दछ, जसले प्रयोगकर्तालाई व्यवस्थापकको रूपमा मालवेयर पुन: चलाउन मनाउन प्रयास गर्ने त्रुटि सन्देश उत्पन्न गर्दछ। थप रूपमा, मालवेयरले 'Snake' खेलको एम्बेडेड संस्करण समावेश गर्दछ जुन GitHub भण्डारबाट कोडको प्रत्यक्ष प्रतिलिपि जस्तो देखिन्छ। यद्यपि, यो खेलले कुनै स्पष्ट उद्देश्य पूरा गर्दैन र कार्यान्वयन गर्दा सुरु हुँदैन।
मालवेयरले कुकीहरू, पासवर्डहरू, र क्रिप्टोकरन्सी वालेटहरू सङ्कलन गर्नका लागि थ्रेडहरू समावेश गर्ने बहु उपप्रक्रियाहरू ट्रिगर गर्दछ। रिमोट कन्ट्रोल सक्षम गर्न, मालवेयरले फ्लास्क वेब अनुप्रयोग सुरु गर्छ। त्यसपछि खतराले क्लाउडफ्लेयरको रिभर्स टनेल युटिलिटी मार्फत 'क्लाउडफ्लेयर' नामक एपलाई इन्टरनेटमा पहुँचयोग्य बनाउँछ। यो विधि प्रयोग गरेर, मालवेयरले कुनै पनि इनबाउन्ड फायरवाल नियमहरू बाइपास गर्न सक्छ र सम्झौता प्रणालीमा निरन्तर उपस्थिति कायम राख्न सक्छ।
धम्की दिने क्षमताहरूको विस्तृत सेट कलर-ब्लाइन्ड RAT मा फेला पर्यो
Colour-BLind RAT र यसका विभिन्न हानिकारक कार्यहरू वेब अनुप्रयोग मार्फत नियन्त्रण गर्न सकिन्छ। टोकन प्रकार्यले धेरै अनुप्रयोगहरूका लागि लगइन टोकनहरू डम्प गर्न सक्छ जुन क्रोमियम मार्फत electron.io वा क्रोमियम सिधै अनुप्रयोग फ्रेमवर्कको रूपमा प्रयोग गर्दछ, जसमा Discord समावेश छ। पासवर्ड प्रकार्यले वेब ब्राउजरबाट निकालिएका पासवर्डहरूलाई स्क्रिनमा डम्प गर्छ, जबकि कुकीज प्रकार्यले सबै ब्राउजर कुकीहरूलाई स्क्रिनमा डम्प गर्छ। कुञ्जी प्रकार्यले क्याप्चर गरिएको डाटा कुञ्जी लगरहरूमा डम्प गर्दछ र यसलाई स्क्रिनमा देखाउँदछ।
RAT को क्षमताहरू मध्ये एप्लिकेसन प्रकार्य पनि हो, जसले हाल सक्रिय अनुप्रयोगहरूको सूची र तिनीहरूलाई समाप्त गर्न बटन प्रदान गर्दछ। डाटा डम्प प्रकार्यले सबै क्याप्चर गरिएको डाटा C2 URL मा पठाउँछ। स्क्रिन प्रकार्यले प्रयोगकर्ताको डेस्कटपको स्क्रिनसट देखाउँछ र प्राथमिक अन्तरक्रियाको लागि अनुमति दिन्छ, जस्तै कुञ्जी थिच्नुहोस्। खतराले आईपी जानकारी पनि हेर्न सक्छ र फरक प्रकार्य प्रयोग गरेर स्क्रिनमा प्रदर्शन गर्न सक्छ। यसले दिइएको वेबपेजमा ब्राउजर खोल्न सक्छ र अपरेटिङ सिस्टम मार्फत आदेशहरू चलाउन सक्छ। Cryptocurrency वालेट जानकारी phantom/Metamask प्रकार्य मार्फत उल्लंघन गरिएको उपकरणबाट काट्न सकिन्छ।
यद्यपि, Colour-Blind RAT ले संक्रमित प्रणालीहरूमा अझ बढी कार्यहरू गर्न सक्छ, जस्तै वेब क्यामेरा मार्फत शंकास्पद प्रयोगकर्ताको जासुसी गर्न /camera endpoint प्रयोग गर्ने। त्यहाँ 'hvnc' बाट सुरु हुने बिभिन्न अन्त बिन्दुहरू पनि छन्, जसले पीडितको मेसिनमा सिर्जना गरिएको लुकेको डेस्कटपसँग सम्झौता गर्दछ। /hvncmmanager प्रकार्यले यो लुकेको डेस्कटपमा वेब ब्राउजर सुरु गर्न अनुमति दिन्छ। /hvnc प्रकार्य लुकेको डेस्कटप खोल्न प्रयोग गरिन्छ र यसले खतरा अभिनेताहरूलाई यससँग अन्तरक्रिया गर्न अनुमति दिन्छ। यस्तो लुकेको तरिकामा वेब ब्राउजर खोल्ने क्षमतालाई धम्की दिने व्यक्तिहरूले पीडितको इन्टरनेट खाताहरू पहुँच गर्न वा अन्तरक्रिया गर्न प्रयोग गर्न सक्छन्। /hvncitem प्रकार्यले आक्रमणकर्ताहरूलाई URL प्यारामिटर 'start' को हेरफेर मार्फत लुकेको डेस्कटपमा अनुकूलन आदेशहरू कार्यान्वयन गर्न सक्षम बनाउँछ।
