Colour-Blind RAT

Pesquisadores de segurança cibernética descobriram um pacote Python ameaçador carregado no Python Package Index (PyPI), contendo um ladrão de informações prejudiciais e um Trojan de acesso remoto (RAT). O pacote foi denominado 'colorfool' e foi identificado por uma equipe de pesquisa de segurança, que nomeou a própria ameaça de malware 'Colour-Blind'.

Esse incidente destaca a tendência crescente de democratizar o cibercrime, em que atores mal-intencionados podem facilmente acessar e redefinir o código existente para suas próprias intenções. Os pesquisadores explicaram que a democratização do crime online pode levar a um cenário de ameaças intensificado, pois os invasores podem criar várias variantes de seu malware, aproveitando o código de terceiros.

Como outros módulos Python desonestos recentes, o Color-Blind usa uma técnica para ocultar seu código incorreto no script de configuração. O script de configuração aponta para uma carga de arquivo ZIP hospedada na plataforma legítima do Discord. Isso permite que o malware evite a detecção por algumas medidas de segurança tradicionais, tornando-o mais difícil de detectar e remover.

O Colour-Blind RAT Carrega o Código para o Jogo 'Snake'

O malware utiliza um mecanismo de persistência que envolve a adição de um script Visual Basic (VB) chamado 'Essentials. vbs' para a pasta 'Start Up' no 'Menu Iniciar' do usuário. Após o login, o script VB executa um arquivo de lote do Windows que o malware injeta na mesma pasta que 'python.exe'. Esse arquivo em lote inicia o malware usando o Python toda vez que o usuário faz login, garantindo que o malware permaneça ativo e presente no sistema.

O malware tem uma função de exfiltração de arquivo que utiliza o 'transfer[.]sh', um site de transferência de arquivo anônimo que é cada vez mais popular entre os agentes de ameaças. O malware também contém código relacionado à engenharia social, que gera uma mensagem de erro que tenta persuadir o usuário a executar novamente o malware como administrador. Além disso, o malware contém uma versão incorporada do jogo 'Snake' que parece ser uma cópia direta do código de um repositório do GitHub. No entanto, este jogo não tem nenhum propósito aparente e não inicia quando executado.

O malware aciona vários subprocessos, que incluem threads para coletar cookies, senhas e carteiras de criptomoedas. Para habilitar o controle remoto, o malware inicia um aplicativo web Flask. A ameaça torna o aplicativo acessível à Internet por meio do utilitário de túnel reverso da Cloudflare chamado 'cloudflared'. Ao usar esse método, o malware pode ignorar qualquer regra de firewall de entrada e manter uma presença persistente no sistema comprometido.

O Amplo Conjunto de Recursos Ameaçadores Encontrados no Colour-BLind RAT 

O Colour-BLind RAT e suas várias funcionalidades prejudiciais podem ser controladas por meio do aplicativo da Web. A função de tokens pode despejar tokens de login para vários aplicativos que usam chromium via electron.io ou chromium diretamente como uma estrutura de aplicativo, que inclui Discord. A função de senhas despeja senhas extraídas de navegadores da web na tela, enquanto a função de cookies despeja todos os cookies do navegador na tela. A função das teclas despeja os dados capturados em keyloggers e os mostra na tela.

Entre os recursos do RAT também está a função de aplicativos, que fornece uma lista dos aplicativos ativos no momento e um botão para finalizá-los. A função de despejo de dados envia todos os dados capturados para a URL C2. A função de tela mostra uma captura de tela da área de trabalho do usuário e permite interação rudimentar, como pressionamento de teclas. A ameaça também pode procurar informações de IP e exibi-las na tela usando uma função diferente. Ele pode abrir um navegador em uma determinada página da Web e executar comandos por meio do sistema operacional. As informações da carteira de criptomoedas podem ser coletadas do dispositivo violado por meio da função phantom/Metamask.

No entanto, o RAT daltônico pode realizar ainda mais ações nos sistemas infectados, como usar o terminal /camera para espionar um usuário desavisado por meio de uma webcam. Também existem vários endpoints começando com 'hvnc', que lidam com uma área de trabalho oculta criada na máquina da vítima. A função /hvncmanager permite iniciar um navegador da Web nesta área de trabalho oculta. A função /hvnc é usada para abrir a área de trabalho oculta e permite que os agentes de ameaças interajam com ela. A capacidade de abrir um navegador da Web de maneira oculta pode ser explorada pelos invasores para acessar ou interagir com as contas de Internet da vítima. A função /hvncitem permite que os invasores executem comandos personalizados na área de trabalho oculta por meio da manipulação do parâmetro de URL 'start'.