PY#RATION RAT

Uma nova campanha de ataque foi capturada recentemente. A operação ameaçadora usa um novo malware baseado em Python apelidado de PY#RATION RAT. Como normalmente acontece com esses Trojans de acesso remoto (RATs), o PY#RATION tem um conjunto abrangente de recursos nocivos, incluindo exfiltração de dados e registro de teclas. O que torna essa ameaça particularmente única é o uso de WebSockets para comunicação e exfiltração de comando e controle (C2, C&C), bem como sua capacidade de evitar a detecção de soluções anti-malware e medidas de segurança de rede.

Os detalhes sobre o PY#RATION RAT foram revelados em um relatório de pesquisadores de segurança cibernética. De acordo com suas descobertas, os cibercriminosos por trás da ameaça estão focados principalmente em alvos no Reino Unido ou na América do Norte, a julgar pelas iscas de phishing usadas como parte do ataque.

A Cadeia de Ataque do PY#RATION

O ataque começa com um e-mail de phishing enganoso contendo um arquivo ZIP. Dentro do arquivo estão dois arquivos de atalhos (.LNK), posando como as imagens da frente e do verso de uma carteira de motorista supostamente genuína do Reino Unido. Ao abrir cada um desses arquivos .LNK, dois arquivos de texto são recuperados de um servidor remoto e salvos como arquivos .BAT.

Enquanto a vítima vê as imagens de isca, os arquivos prejudiciais são executados silenciosamente em segundo plano do sistema. Além disso, outro script em lote é baixado do servidor C2 que obtém outras cargas úteis, incluindo um binário Python chamado 'CortanaAssistance.exe'. O uso da Cortana, assistente virtual da Microsoft, implica que os invasores podem ter tentado disfarçar seu código corrompido como um arquivo de sistema legítimo.

As Capacidades Nocivas do PY#RATION RAT

Duas versões do Trojan PY#RATION foram detectadas (versão 1.0 e 1.6). A versão mais recente inclui quase 1.000 linhas de código adicional, que adiciona recursos de varredura de rede para examinar redes comprometidas e uma camada de criptografia sobre o código Python usando o módulo fernet. Além disso, a ameaça pode transferir arquivos do host violado para seu servidor C2 e vice-versa.

O RAT pode começar a gravar teclas digitadas, executar comandos do sistema, extrair senhas e cookies de navegadores da Web, capturar dados da área de transferência e detectar a presença de software de segurança. Os agentes de ameaças podem utilizar o PY#RATION como um gateway para implantar as cargas úteis de outras ameaças, como outro ladrão de informações baseado em Python criado explicitamente para coletar dados de navegadores da Web e carteiras de criptomoedas.