Zniżki na wiele licencji
Threat Database Remote Administration Tools Szczur ślepy na kolory

Szczur ślepy na kolory

Do Mezo w Remote Administration Tools, Malware
Przetłumacz na:
Polski

Analitycy cyberbezpieczeństwa odkryli groźny pakiet Pythona przesłany do Python Package Index (PyPI), zawierający szkodliwy program do kradzieży informacji i trojana zdalnego dostępu (RAT). Pakiet został nazwany „colourfool” i został zidentyfikowany przez zespół badaczy bezpieczeństwa, który nazwał samo zagrożenie złośliwym oprogramowaniem „Colour-Blind”.

Incydent ten podkreśla rosnący trend zdemokratyzowanej cyberprzestępczości, w ramach której niepoczytalni aktorzy mogą łatwo uzyskiwać dostęp do istniejącego kodu i dostosowywać go do własnych celów. Naukowcy wyjaśnili, że demokratyzacja przestępczości internetowej może prowadzić do zintensyfikowanego krajobrazu zagrożeń, ponieważ osoby atakujące mogą tworzyć wiele wariantów swojego złośliwego oprogramowania, wykorzystując kod pochodzący od innych.

Podobnie jak inne nieuczciwe moduły Pythona, Colour-Blind wykorzystuje technikę ukrywania złego kodu w skrypcie instalacyjnym. Skrypt instalacyjny wskazuje następnie ładunek archiwum ZIP, który jest hostowany na legalnej platformie Discord. Pozwala to złośliwemu oprogramowaniu uniknąć wykrycia za pomocą niektórych tradycyjnych środków bezpieczeństwa, co utrudnia jego wykrycie i usunięcie.

Ślepy na kolory SZCZUR niesie kod gry „Węża”.

Szkodliwe oprogramowanie wykorzystuje mechanizm utrwalania, który polega na dodaniu skryptu Visual Basic (VB) o nazwie „Essentials. vbs” do folderu „Start Up” w „Menu Start” użytkownika. Po zalogowaniu skrypt VB wykonuje plik wsadowy systemu Windows, który złośliwe oprogramowanie umieszcza w tym samym folderze, co „python.exe”. Ten plik wsadowy uruchamia złośliwe oprogramowanie przy użyciu Pythona za każdym razem, gdy użytkownik się loguje, zapewniając, że złośliwe oprogramowanie pozostaje aktywne i obecne w systemie.

Szkodliwe oprogramowanie posiada funkcję eksfiltracji plików, która wykorzystuje „transfer[.]sh”, anonimową witrynę do przesyłania plików, która jest coraz bardziej popularna wśród cyberprzestępców. Szkodliwe oprogramowanie zawiera również kod związany z inżynierią społeczną, który generuje komunikat o błędzie, który próbuje przekonać użytkownika do ponownego uruchomienia złośliwego oprogramowania jako administrator. Ponadto złośliwe oprogramowanie zawiera osadzoną wersję gry „Snake”, która wydaje się być bezpośrednią kopią kodu z repozytorium GitHub. Jednak ta gra nie służy żadnemu widocznemu celowi i nie uruchamia się po uruchomieniu.

Złośliwe oprogramowanie uruchamia wiele podprocesów, które obejmują wątki do zbierania plików cookie, haseł i portfeli kryptowalut. Aby umożliwić zdalną kontrolę, złośliwe oprogramowanie uruchamia aplikację internetową Flask. Zagrożenie następnie udostępnia aplikację w Internecie za pośrednictwem narzędzia Cloudflare do odwrotnego tunelowania o nazwie „cloudflared”. Korzystając z tej metody, złośliwe oprogramowanie może ominąć wszelkie przychodzące reguły zapory sieciowej i utrzymać stałą obecność w zaatakowanym systemie.

Ekspansywny zestaw groźnych możliwości znalezionych u ślepego na kolory szczura

Colour-Blind RAT i jego różne szkodliwe funkcje można kontrolować za pomocą aplikacji internetowej. Funkcja tokenów może zrzucać tokeny logowania dla kilku aplikacji, które używają chromu za pośrednictwem electro.io lub chromu bezpośrednio jako ramy aplikacji, w tym Discord. Funkcja haseł zrzuca na ekran wyodrębnione hasła z przeglądarek internetowych, podczas gdy funkcja plików cookie zrzuca na ekran wszystkie pliki cookie przeglądarki. Funkcja klawiszy zrzuca przechwycone dane do keyloggerów i wyświetla je na ekranie.

Wśród możliwości RAT znajduje się również funkcja aplikacji, która udostępnia listę aktualnie aktywnych aplikacji oraz przycisk do ich zamknięcia. Funkcja zrzutu danych wysyła wszystkie przechwycone dane na adres URL C2. Funkcja ekranu pokazuje zrzut ekranu pulpitu użytkownika i pozwala na podstawowe interakcje, takie jak naciśnięcia klawiszy. Zagrożenie może również wyszukać informacje o adresie IP i wyświetlić je na ekranie za pomocą innej funkcji. Może otwierać przeglądarkę na danej stronie internetowej i uruchamiać polecenia za pośrednictwem systemu operacyjnego. Informacje o portfelu kryptowalut mogą zostać zebrane ze złamanego urządzenia za pomocą funkcji phantom/Metamask.

Jednak ślepy na kolory RAT może wykonać jeszcze więcej działań na zainfekowanych systemach, takich jak użycie punktu końcowego /camera do szpiegowania niczego niepodejrzewającego użytkownika za pośrednictwem kamery internetowej. Istnieją również różne punkty końcowe zaczynające się od „hvnc”, które zajmują się ukrytym pulpitem utworzonym na maszynie ofiary. Funkcja /hvncmanager pozwala na uruchomienie przeglądarki internetowej na tym ukrytym pulpicie. Funkcja /hvnc służy do otwierania ukrytego pulpitu i umożliwia aktorom zagrożeń interakcję z nim. Możliwość otwarcia przeglądarki internetowej w taki ukryty sposób może zostać wykorzystana przez cyberprzestępców do uzyskania dostępu do kont internetowych ofiary lub interakcji z nimi. Funkcja /hvncitem umożliwia atakującym wykonywanie niestandardowych poleceń na ukrytym pulpicie poprzez manipulację parametrem adresu URL „start”.

Popularne

Najczęściej oglądane

Ładowanie...