Szczur PY#RATION

Nowa kampania ataków została złapana na wolności. Groźna operacja wykorzystuje nowatorskie złośliwe oprogramowanie oparte na języku Python, nazwane PY#RATION RAT. Jak zwykle w przypadku tych trojanów zdalnego dostępu (RAT), PY#RATION ma kompleksowy zestaw szkodliwych możliwości, w tym eksfiltrację danych i keyloggery. To, co sprawia, że to zagrożenie jest szczególnie wyjątkowe, to wykorzystanie WebSockets zarówno do komunikacji typu Command-and-Control (C2, C&C), jak i eksfiltracji, a także jego zdolność do unikania wykrycia przez rozwiązania chroniące przed złośliwym oprogramowaniem i środki bezpieczeństwa sieci.

Szczegóły dotyczące PY#RATION RAT zostały ujawnione w raporcie badaczy cyberbezpieczeństwa. Według ich ustaleń cyberprzestępcy stojący za tym zagrożeniem koncentrują się głównie na celach w Wielkiej Brytanii lub Ameryce Północnej, sądząc po przynętach phishingowych wykorzystywanych w ramach ataku.

Łańcuch ataków PY#RATION

Atak rozpoczyna się od oszukańczej wiadomości e-mail zawierającej archiwum ZIP. Wewnątrz archiwum znajdują się dwa pliki skrótów (.LNK), udające przednią i tylną stronę rzekomo oryginalnego brytyjskiego prawa jazdy. Po otwarciu każdego z tych plików .LNK dwa pliki tekstowe są pobierane ze zdalnego serwera, a następnie zapisywane jako pliki .BAT.

Podczas gdy ofierze wyświetlane są wabiące obrazy, szkodliwe pliki są uruchamiane po cichu w tle systemu. Ponadto z serwera C2 pobierany jest inny skrypt wsadowy, który pobiera inne ładunki, w tym plik binarny języka Python o nazwie „CortanaAssistance.exe”. Użycie Cortany, wirtualnego asystenta Microsoftu, sugeruje, że osoby atakujące mogły próbować ukryć swój uszkodzony kod jako legalny plik systemowy.

Bolesne zdolności PY#RATION RAT

Wykryto dwie wersje trojana PY#RATION (wersja 1.0 i 1.6). Nowsza wersja zawiera prawie 1000 linii dodatkowego kodu, który dodaje funkcje skanowania sieci w celu zbadania zaatakowanych sieci oraz warstwę szyfrowania kodu Pythona za pomocą modułu fernet. Ponadto zagrożenie może przenosić pliki z zainfekowanego hosta na swój serwer C2 i odwrotnie.

RAT może zacząć rejestrować naciśnięcia klawiszy, wykonywać polecenia systemowe, wyodrębniać hasła i pliki cookie z przeglądarek internetowych, przechwytywać dane ze schowka i wykrywać obecność oprogramowania zabezpieczającego. Aktorzy zagrożeń mogą wykorzystywać PY#RATION jako bramę do wdrażania ładunków innych zagrożeń, takich jak inny program do kradzieży informacji oparty na Pythonie, stworzony specjalnie do zbierania danych z przeglądarek internetowych i portfeli kryptowalut.