PY#RATION RAT

O nouă campanie de atac a fost prinsă în sălbăticie. Operațiunea de amenințare folosește un nou malware bazat pe Python, numit PY#RATION RAT. Așa cum este de obicei cazul acestor troieni de acces la distanță (RAT), PY#RATION are un set cuprinzător de capabilități dăunătoare, inclusiv exfiltrarea datelor și înregistrarea tastelor. Ceea ce face ca această amenințare să fie deosebit de unică este utilizarea sa de WebSockets atât pentru comunicarea de comandă și control (C2, C&C), cât și pentru exfiltrare, precum și capacitatea sa de a evita detectarea din soluțiile anti-malware și măsurile de securitate a rețelei.

Detaliile despre PY#RATION RAT au fost dezvăluite într-un raport al cercetătorilor în domeniul securității cibernetice. Potrivit constatărilor lor, infractorii cibernetici din spatele amenințării se concentrează în principal asupra țintelor din Marea Britanie sau America de Nord, judecând după momelile de phishing folosite ca parte a atacului.

Lanțul de atac al PY#RATION

Atacul începe cu un e-mail de phishing înșelător care conține o arhivă ZIP. În interiorul arhivei se află două fișiere de scurtături (.LNK), care prezintă drept imagini din față și din spate ale unui presupus autentic permis de conducere din Marea Britanie. La deschiderea fiecăruia dintre aceste fișiere .LNK, două fișiere text sunt preluate de pe un server la distanță și apoi salvate ca fișiere .BAT.

În timp ce victimei i se arată imaginile momeală, fișierele dăunătoare sunt executate în tăcere în fundalul sistemului. În plus, de pe serverul C2 este descărcat un alt script de lot care obține alte încărcări utile, inclusiv un binar Python numit „CortanaAssistance.exe”. Folosirea lui Cortana, asistentul virtual al Microsoft, implică faptul că atacatorii ar fi încercat să-și mascheze codul corupt într-un fișier de sistem legitim.

Capabilitățile rănitoare ale PY#RATION RAT

Au fost detectate două versiuni troiene PY#RATION (versiunile 1.0 și 1.6). Versiunea mai nouă include aproape 1.000 de linii de cod suplimentar, care adaugă funcții de scanare a rețelei pentru a examina rețelele compromise și un strat de criptare peste codul Python folosind modulul fernet. În plus, amenințarea poate transfera fișiere de la gazda violată pe serverul său C2 și invers.

RAT poate începe să înregistreze apăsările de taste, să execute comenzi de sistem, să extragă parole și cookie-uri din browsere web, să captureze date din clipboard și să detecteze prezența software-ului de securitate. Actorii amenințărilor pot utiliza PY#RATION ca o poartă de acces pentru implementarea încărcăturilor utile ale altor amenințări, cum ar fi un alt furt de informații bazat pe Python, creat în mod explicit pentru a colecta date din browserele web și portofelele criptomonede.