PyVil RAT

O PyVil RAT é uma nova ferramenta de malware que foi adicionada ao arsenal do grupo Evilnum de Ameaça Persistente Avançada (ATP). Evilnum está ativo há alguns anos. Durante esse período, ela atualizou seu kit de ferramentas de malware com ameaças caseiras constantemente e comprou programas Ransomware-as-a-Service (RaaS). O principal alvo dos hackers são organizações do setor de tecnologia financeira localizadas principalmente no Reino Unido e na UE, mas com um número menor de vítimas no Canadá e na Austrália.

O PyVil RAT Explora o Código Obtido de Aplicativos Legítimos para Evitar a Detecção

A nova ferramenta empregada pelo Evilnum é um Trojan de Acesso Remoto (RAT) escrito em Python que se chama PyVil. Esta ameaça de malware expandiu recursos e é implantada por meio de uma cadeia de ataque de vários estágios. A campanha ameaçadora começa com e-mails de spear-phishing altamente direcionados que carregam um arquivo LNK posando como um arquivo PDF contendo documentação importante, como cartão de crédito e fotos de carteira de habilitação ou contas de serviços públicos. O arquivo LNK grava um arquivo JavaScript denominado 'ddpp.exe' no sistema da vítima que atua como um dropper de primeiro estágio e não pode se comunicar com a infraestrutura de Comando e Controle (C2) dos criminosos. O malware ganha persistência criando uma tarefa agendada chamada 'Dolby Selector Task' para o arquivo 'ddpp.exe'. O arquivo ddpp parece ser um 'Java (™) Web Start Launcher' modificado com partes significativas do código legítimo intactas.

O segundo estágio do ataque é iniciado pelo Dolby Selector Task, pois ele descompacta um shellcode que se conecta ao servidor C2 e recupera um arquivo de carga chamado 'fplayer.exe'. Esse novo arquivo é armazenado em um local predefinido em ' localappdata%\microsoft\media player\player\fplayer.exe ' e é executado por meio de uma nova tarefa agendada chamada 'Adobe Update Task'. A mesma tática para copiar um instalador legítimo é usada novamente, mas desta vez, fplayer.exe é uma versão modificada do instalador do driver 3D estereoscópico da Nvidia. Para avançar para o próximo estágio, fplayer.exe descompacta outro shellcode que mais uma vez se conecta ao servidor C2, mas desta vez a carga útil final do PyVil RAT é enviada ao sistema comprometido.

O PyVil RAT Possui uma Vasta Gama de Funções

Depois de finalmente ser baixado e executado, o PyVil RAT começa a operar de acordo com os comandos que recebe da estrutura C2. O malware tem habilidades de keylogging e pode fazer capturas de tela. Ele pode executar comandos cmd, abrir shells SSH, bem como fazer download e upload de arquivos executáveis. Além disso, é um infostealer potente, pois pode sondar o sistema infectado para dispositivos USB conectados, versão do Chrome e listar programas anti-malware instalados.

O PyVil RAT pode ser usado para deixar módulos Python adicionais, o que adiciona novos recursos ao malware de forma eficaz. Na verdade, os pesquisadores de segurança cibernética observaram que, durante o ataque, o PyVil RAT recebeu um módulo Python do servidor C2 que era uma versão modificada do Projeto LaZagne. O novo script pode coletar informações de cookies e tentativas de exfiltrar senhas para o servidor C2.