PyMicropsia Malware
De PyMicropsia Malware is de naam die door infosec-onderzoekers is gegeven aan een nieuwe stam van gegevensverzamelende malware die is waargenomen als onderdeel van de bedreigende operaties van AridViper, een hacker-bedreigingsgroep die voornamelijk het doelwit was van organisaties uit het Midden-Oosten. De dreiging, en de reden voor de naam, heeft sterke banden met AridViper's eerdere dreigingstools uit de Micropsia-familie, zoals code-overlappingen en overeenkomsten in zowel het gedrag als de Command-and-Control-infrastructuur.
De dreiging heeft een breed scala aan mogelijkheden voor het verzamelen van gegevens. Eenmaal volledig gevestigd op het gecompromitteerde computersysteem, kan PyMicropsia Outlook.OST-bestanden oogsten en tegelijkertijd Outlook-processen doden of uitschakelen. Met OST-bestanden in Outlook kunnen gebruikers in een offline omgeving werken, waarbij alle aangebrachte wijzigingen worden gesynchroniseerd met de Exchange-server de volgende keer dat de gebruiker online gaat. De dreiging kan contacten, taken, berichten, agendagegevens en andere accountinformatie uit deze bestanden halen. Bovendien kan de dreiging ook de browserreferenties in gevaar brengen en verzamelen.
De bedreigende mogelijkheden van PyMicropsia houden daar echter niet op. De AridViper-hackers hebben de malware uitgerust met een indrukwekkende reeks aanvullende bedreigende functionaliteiten. De dreiging kan bestanden verwijderen of exfiltreren, extra payloads ophalen en downloaden, screenshots maken, keylogging-routines instellen, USB-drives scannen op informatie, lijstinformatie verzamelen en het geïnfecteerde systeem opnieuw opstarten. Via een microfoon die op de computer is aangesloten, kan PyMicropsia ook beginnen met het opnemen van audio.
Hoewel AridViper-hackers zich alleen consequent op Windows-systemen hebben gericht, geven ongebruikte codesnippers die in PyMicropsia worden aangetroffen, aan dat ze momenteel misschien op zoek zijn naar uitbreiding. Infosec-onderzoekers ontdekten dat verschillende delen van de code die in PyMicropsia zijn gevonden, aangeven dat de dreiging binnenkort nog krachtiger zou kunnen worden. De functies hebben de taak om een controle uit te voeren voor POSIX, Portable Operating System Interface en Darwin, een open-source Unix-achtig besturingssysteem.
