PyXie RAT

PyXie RAT to zagrożenie, które zostało po raz pierwszy odkryte w 2018 roku. Zasadniczo jest to RAT (trojan dostępu zdalnego) napisany w języku programowania Python. Gdy badacze szkodliwego oprogramowania po raz pierwszy zauważyli PyXie RAT, zagrożenie nie rozprzestrzeniło się zbyt szeroko. Jednak od tego czasu jego operatorzy zwiększyli zasięg, a eksperci ds. Cyberbezpieczeństwa dostrzegli kilka wariantów zagrożenia czającego się w sieci. Po przeanalizowaniu PyXie RAT eksperci doszli do wniosku, że jego autorzy są bardzo wysoko wykwalifikowani i doświadczeni, ponieważ zagrożenie to jest bardzo zaawansowanym trojanem dostępu zdalnego. Twórcy PyXie RAT pożyczyli kod od kilku niesławnych narzędzi hakerskich i upewnili się, że ich tworzenie jest trudne do przestudiowania i analizy.

Pakuje groźny moduł pobierania

Operatorzy mają uszkodzony kod do legalnych plików DLL z Google i LogMeIn. Autorzy PyXie RAT również skompromitowali aplikację Tetris i używają jej do uruchamiania modułów zestawu narzędzi o nazwie Cobalt Strike. Twórcy PyXie RAT mogli być zainspirowani autorami trojana bankowego Shifu, ponieważ obaj wydają się korzystać z bardzo podobnego modułu pobierania. Gdy PyXie RAT zaatakuje hosta, umieści swoje pliki w kilku podfolderach% APPDATA%. Zagrożenie upewni się również, że zyska ono na trwałości poprzez manipulowanie rejestrem Windows. Autorzy PyXie RAT zaciemnili kod źródłowy zagrożenia, więc jego analiza jest znacznie trudniejszym zadaniem. Moduł pobierający, o którym wspominaliśmy wcześniej, nazywa się „trybem kobaltu” i może obsadzić dodatkowe złośliwe oprogramowanie na hoście, pobierając obciążenie z serwera C&C (Command & Control) atakującego, odszyfrowując go i wykonując.

Możliwości

Oprócz możliwości umieszczania dodatkowego złośliwego oprogramowania na zainfekowanej maszynie, PyXie RAT może również:

• Uruchom keylogger i zbieraj naciśnięcia klawiszy, które są następnie przenoszone na serwer C&C atakujących.
• Nagrywaj wideo za pomocą kamery internetowej użytkownika.
• Zainicjuj połączenie pulpitu zdalnego.
• Zbieraj pliki z dowolnych wymiennych urządzeń pamięci masowej, które mogą być podłączone.
• Zbieraj dane logowania od klientów FTP, a także przeglądarek internetowych.
• Zbierz dane sesji z Discord, Steam, Telegram i innych aplikacji używanych do komunikacji.
• Wstrzykuj niestandardowe strony internetowe, które mogą być wykorzystane w operacjach phishingowych.

PyXie RAT jest zagrożeniem, przed którym zdecydowanie należy się wystrzegać. To zaawansowane narzędzie do hakowania jest w stanie siać spustoszenie i zbierać wiele informacji. Jeśli chcesz chronić swoje dane i system przed tym szkodnikiem, pobierz i zainstaluj renomowane oprogramowanie antywirusowe.