PyFlash

Por GoldSparrow em Backdoors

O Trojan backdoor PyFlash é uma nova ferramenta de hackers no arsenal do grupo de hackers Turla, escrito na linguagem de programação Python. O grupo de hackers Turla é originário da Rússia e reivindicou inúmeras vítimas ao longo dos anos. Os pesquisadores acreditam que o grupo de hackers Turla está mirando políticos armênios de alto escalão em sua última campanha.

Segundo relatos, o grupo hacker russo conseguiu comprometer dois sites do governo e duas páginas que pertencem a uma organização popular na Armênia. Esta última campanha utiliza a técnica chamada 'watering hole'. Isso significa que o grupo de hackers Turla planta atualizações falsas do Adobe Flash Player nos sites comprometidos e tenta convencer os funcionários do governo a instalar a atualização falsa.

No entanto, as autoridades que acreditam nesse truque e aplicam a atualização falsa permitem que o grupo de hackers Turla comprometa os seus sistemas. A carga útil do primeiro estágio dessa campanha é o downloader do NetFlash Trojan, que busca obter a carga secundária - o backdoor do Trojan PyFlash. O downloader do NetFlash também fará o download da ferramenta 'py2exe' genuína, que serve para converter o código Python em executáveis do Windows. O script PyFlash é iniciado no dispositivo Windows infectado com a ajuda do utilitário 'py2exe'.

Após o lançamento, o backdoor do Trojan PyFlash estabelecerá uma conexão com o servidor de C&C (Comano e Controle) dos seus operadores. A ameaça PyFlash receberá comandos do servidor de C&C em questão. O tráfego entre o Trojan e o servidor C&C é criptografado com segurança. O Trojan backdoor PyFlash permite que os atacantes:

  • Executem comandos do Windows.
  • Transfiram o resultado dos comandos executados para o servidor C&C dos atacantes.
  • Baixem e plantem malware adicional por meio de um URL.
  • Executem a ameaça a cada 'X' minutos usando a ferramenta Agendamento de tarefas do Windows.
  • Removam a ameaça do dispositivo comprometido.

Muitos usuários podem não perceber que há algo errado com o sistema, porque a técnica do 'regador' significa que um instalador real do Adobe Flash Player será iniciado, fazendo parecer que não há nenhum problema. Os usuários precisam ter cuidado ao instalar atualizações. Os especialistas em segurança cibernética aconselham os usuários a só baixar e instalar atualizações do site oficial dos fornecedores do utilitário.

Tendendo

Mais visto

Carregando...