Kleurenblinde RAT

Cyberbeveiligingsonderzoekers hebben een bedreigend Python-pakket ontdekt dat is geüpload naar de Python Package Index (PyPI), dat een schadelijke informatie-dief en een Remote Access Trojan (RAT) bevat. Het pakket kreeg de naam 'colourfool' en werd geïdentificeerd door een beveiligingsonderzoeksteam, dat de malwaredreiging zelf 'Colour-Blind' noemde.

Dit incident benadrukt de groeiende trend van gedemocratiseerde cybercriminaliteit, waarbij kwaadwillende actoren gemakkelijk toegang hebben tot bestaande code en deze kunnen hergebruiken voor hun eigen doeleinden. De onderzoekers legden uit dat de democratisering van de online misdaad zou kunnen leiden tot een geïntensiveerd bedreigingslandschap, aangezien aanvallers meerdere varianten van hun malware kunnen creëren door gebruik te maken van code die van anderen afkomstig is.

Net als andere recente malafide Python-modules, gebruikt Colour-Blind een techniek om de slechte code in het setup-script te verbergen. Het installatiescript verwijst vervolgens naar een ZIP-archieflading die wordt gehost op het legitieme Discord-platform. Hierdoor kan de malware detectie door sommige traditionele beveiligingsmaatregelen omzeilen, waardoor het moeilijker wordt om deze te detecteren en te verwijderen.

De kleurenblinde RAT draagt de code voor het 'Snake'-spel

De malware maakt gebruik van een persistentiemechanisme waarbij een Visual Basic (VB)-script met de naam 'Essentials. vbs' naar de map 'Opstarten' in het 'Startmenu' van de gebruiker. Bij het inloggen voert het VB-script een Windows-batchbestand uit dat de malware in dezelfde map als 'python.exe' injecteert. Dit batchbestand start de malware met behulp van Python elke keer dat de gebruiker inlogt, en zorgt ervoor dat de malware actief en aanwezig blijft op het systeem.

De malware heeft een bestandsexfiltratiefunctie die gebruikmaakt van 'transfer[.]sh', een anonieme website voor bestandsoverdracht die steeds populairder wordt onder bedreigingsactoren. De malware bevat ook code met betrekking tot social engineering, die een foutmelding genereert die de gebruiker probeert over te halen de malware opnieuw uit te voeren als beheerder. Bovendien bevat de malware een ingebedde versie van de 'Snake'-game die een directe kopie lijkt te zijn van code uit een GitHub-repository. Dit spel dient echter geen duidelijk doel en start niet wanneer het wordt uitgevoerd.

De malware activeert meerdere subprocessen, waaronder threads voor het verzamelen van cookies, wachtwoorden en cryptocurrency-portefeuilles. Om controle op afstand mogelijk te maken, start de malware een Flask-webtoepassing. De dreiging maakt de applicatie vervolgens toegankelijk voor internet via Cloudflare's reverse tunnel utility genaamd 'cloudflared'. Door deze methode te gebruiken, kan de malware alle inkomende firewallregels omzeilen en permanent aanwezig blijven op het gecompromitteerde systeem.

De uitgebreide reeks bedreigende mogelijkheden gevonden in de kleurenblinde RAT

De Colour-BLind RAT en zijn verschillende schadelijke functionaliteiten kunnen via de webapplicatie worden aangestuurd. De tokens-functie kan login-tokens dumpen voor verschillende applicaties die chromium gebruiken via electron.io of chromium direct als een applicatieframework, waaronder Discord. De wachtwoordenfunctie dumpt geëxtraheerde wachtwoorden van webbrowsers naar het scherm, terwijl de cookiesfunctie alle browsercookies naar het scherm dumpt. De toetsenfunctie dumpt vastgelegde gegevens naar keyloggers en toont deze op het scherm.

Een van de mogelijkheden van de RAT is ook de toepassingsfunctie, die een lijst biedt van de momenteel actieve toepassingen en een knop om ze te beëindigen. De datadumpfunctie stuurt alle vastgelegde gegevens naar de C2-URL. De schermfunctie toont een screenshot van het bureaublad van de gebruiker en maakt rudimentaire interactie mogelijk, zoals toetsaanslagen. De dreiging kan ook IP-informatie opzoeken en met een andere functie op het scherm weergeven. Het kan een browser naar een bepaalde webpagina openen en opdrachten uitvoeren via het besturingssysteem. Cryptocurrency-portemonnee-informatie kan worden verzameld van het geschonden apparaat via de phantom/Metamask-functie.

De Colour-Blind RAT kan echter nog meer acties uitvoeren op de geïnfecteerde systemen, zoals het gebruik van het /camera-eindpunt om een nietsvermoedende gebruiker te bespioneren via een webcamera. Er zijn ook verschillende eindpunten die beginnen met 'hvnc', die te maken hebben met een verborgen bureaublad dat op de computer van het slachtoffer is gemaakt. Met de functie /hvncmanager kan op dit verborgen bureaublad een webbrowser worden gestart. De functie /hvnc wordt gebruikt om het verborgen bureaublad te openen en stelt de bedreigingsactoren in staat ermee te communiceren. De mogelijkheid om een webbrowser op zo'n verborgen manier te openen, kan door de bedreigingsactoren worden misbruikt om toegang te krijgen tot of interactie te hebben met de internetaccounts van het slachtoffer. Met de functie /hvncitem kunnen aanvallers aangepaste opdrachten uitvoeren op het verborgen bureaublad door de URL-parameter 'start' te manipuleren.