PY#RATION RAT

Een nieuwe aanvalscampagne is in het wild gevangen. De bedreigende operatie maakt gebruik van een nieuwe op Python gebaseerde malware genaamd de PY#RATION RAT. Zoals meestal het geval is met deze Remote Access Trojans (RAT's), heeft PY#RATION een uitgebreide reeks schadelijke mogelijkheden, waaronder data-exfiltratie en keylogging. Wat deze dreiging bijzonder uniek maakt, is het gebruik van WebSockets voor zowel Command-and-Control (C2, C&C) communicatie als exfiltratie, evenals het vermogen om detectie door antimalwareoplossingen en netwerkbeveiligingsmaatregelen te omzeilen.

De details over de PY#RATION RAT zijn onthuld in een rapport van cybersecurity-onderzoekers. Volgens hun bevindingen zijn de cybercriminelen achter de dreiging voornamelijk gericht op doelen in het VK of Noord-Amerika, te oordelen naar de phishing-lokmiddelen die als onderdeel van de aanval worden gebruikt.

De aanvalsketen van PY#RATION

De aanval begint met een misleidende phishing-e-mail met daarin een ZIP-archief. In het archief bevinden zich twee snelkoppelingsbestanden (.LNK), die zich voordoen als de voor- en achterkant van een zogenaamd echt Brits rijbewijs. Bij het openen van elk van deze .LNK-bestanden worden twee tekstbestanden opgehaald van een externe server en vervolgens opgeslagen als .BAT-bestanden.

Terwijl het slachtoffer de lokbeelden te zien krijgt, worden de schadelijke bestanden geruisloos op de achtergrond van het systeem uitgevoerd. Bovendien wordt er een ander batchscript gedownload van de C2-server dat andere payloads verkrijgt, waaronder een Python-binair bestand met de naam 'CortanaAssistance.exe'. Het gebruik van Cortana, de virtuele assistent van Microsoft, impliceert dat de aanvallers mogelijk hebben geprobeerd hun corrupte code te vermommen als een legitiem systeembestand.

PY#RATION RAT's kwetsende mogelijkheden

Er zijn twee PY#RATION Trojaanse versies gedetecteerd (versie 1.0 en 1.6). De nieuwere versie bevat bijna 1.000 regels extra code, die netwerkscanfuncties toevoegt om gecompromitteerde netwerken te onderzoeken en een coderingslaag over de Python-code met behulp van de fernet-module. Bovendien kan de dreiging bestanden overdragen van de gehackte host naar zijn C2-server en andersom.

De RAT kan beginnen met het opnemen van toetsaanslagen, het uitvoeren van systeemopdrachten, het extraheren van wachtwoorden en cookies uit webbrowsers, het vastleggen van klembordgegevens en het detecteren van de aanwezigheid van beveiligingssoftware. De bedreigingsactoren kunnen PY#RATION gebruiken als een gateway voor het inzetten van de payloads van andere bedreigingen, zoals een andere op Python gebaseerde info-stealer die expliciet is gemaakt om gegevens van webbrowsers en cryptocurrency-portefeuilles te verzamelen.