Reduceri pentru mai multe licențe
Threat Database Remote Administration Tools ȘObolan daltonist

ȘObolan daltonist

Până în Mezo în Remote Administration Tools, Malware
Tradu in:
Română

Cercetătorii în domeniul securității cibernetice au descoperit un pachet Python amenințător, încărcat în Python Package Index (PyPI), care conține un furt de informații dăunătoare și un troian de acces la distanță (RAT). Pachetul a fost numit „colourfool” și a fost identificat de o echipă de cercetare de securitate, care a numit amenințarea malware în sine „Colour-Blind”.

Acest incident evidențiază tendința de creștere a criminalității cibernetice democratizate, în care actorii cu mintea nepotrivită pot accesa cu ușurință și reutiliza codul existent pentru propriile lor intenții. Cercetătorii au explicat că democratizarea criminalității online ar putea duce la un peisaj de amenințări intensificat, deoarece atacatorii pot crea mai multe variante ale programelor lor malware utilizând codul provenit de la alții.

La fel ca și alte module recente Python necinstite, Color-Blind folosește o tehnică pentru a-și ascunde codul prost în scriptul de configurare. Scriptul de configurare indică apoi o sarcină utilă a arhivei ZIP care este găzduită pe platforma legitimă Discord. Acest lucru permite malware-ului să evite detectarea prin unele măsuri tradiționale de securitate, ceea ce face mai dificilă detectarea și eliminarea.

Șobolanul daltonist poartă codul pentru jocul „Șarpe”.

Malware-ul utilizează un mecanism de persistență care implică adăugarea unui script Visual Basic (VB) numit „Essentials”. vbs” în folderul „Start Up” din „Meniul Start” al utilizatorului. La conectare, scriptul VB execută un fișier batch Windows pe care malware-ul îl injectează în același folder ca „python.exe”. Acest fișier batch pornește malware-ul folosind Python de fiecare dată când utilizatorul se conectează, asigurându-se că malware-ul rămâne activ și prezent în sistem.

Malware-ul are o funcție de exfiltrare a fișierelor care folosește „transfer[.]sh”, un site web anonim de transfer de fișiere care este din ce în ce mai popular printre actorii amenințărilor. Malware-ul conține, de asemenea, cod legat de ingineria socială, care generează un mesaj de eroare care încearcă să convingă utilizatorul să ruleze din nou malware-ul ca administrator. În plus, malware-ul conține o versiune încorporată a jocului „Snake” care pare a fi o copie directă a codului dintr-un depozit GitHub. Cu toate acestea, acest joc nu servește niciun scop aparent și nu pornește atunci când este executat.

Malware-ul declanșează mai multe subprocese, care includ fire de execuție pentru colectarea cookie-urilor, parolele și portofelele criptomonede. Pentru a activa controlul de la distanță, malware-ul pornește o aplicație web Flask. Amenințarea face apoi aplicația accesibilă pe internet prin intermediul utilitarului de tunel invers al Cloudflare, numit „cloudflared”. Prin utilizarea acestei metode, malware-ul poate ocoli orice reguli de firewall de intrare și poate menține o prezență persistentă pe sistemul compromis.

Setul extins de capabilități amenințătoare găsite în RAT daltonist

Color-blind RAT și diferitele sale funcționalități dăunătoare pot fi controlate prin intermediul aplicației Web. Funcția de jetoane poate arunca jetoane de conectare pentru mai multe aplicații care folosesc chromium prin electron.io sau chromium direct ca cadru de aplicație, care include Discord. Funcția de parole aruncă parolele extrase din browserele web pe ecran, în timp ce funcția cookie-uri aruncă toate modulele cookie de browser pe ecran. Funcția tastelor transferă datele capturate către keyloggers și le arată pe ecran.

Printre capabilitățile RAT se numără și funcția de aplicații, care oferă o listă a aplicațiilor active în prezent și un buton pentru a le închide. Funcția de descărcare a datelor trimite toate datele capturate la adresa URL C2. Funcția de ecran arată o captură de ecran a desktopului utilizatorului și permite interacțiuni rudimentare, cum ar fi apăsarea tastelor. De asemenea, amenințarea poate căuta informații IP și le poate afișa pe ecran folosind o funcție diferită. Poate deschide un browser către o anumită pagină web și poate rula comenzi prin intermediul sistemului de operare. Informațiile portofelului cu criptomonede pot fi colectate de pe dispozitivul încălcat prin intermediul funcției fantomă/Metamask.

Cu toate acestea, Color-Blind RAT poate efectua și mai multe acțiuni asupra sistemelor infectate, cum ar fi utilizarea punctului final /camera pentru a spiona un utilizator nebănuitor prin intermediul unei camere web. Există, de asemenea, diverse puncte finale care încep cu „hvnc”, care se ocupă de un desktop ascuns creat pe computerul victimei. Funcția /hvncmanager permite pornirea unui browser Web pe acest desktop ascuns. Funcția /hvnc este folosită pentru a deschide desktopul ascuns și permite actorilor amenințărilor să interacționeze cu acesta. Capacitatea de a deschide un browser web într-o manieră atât de ascunsă poate fi exploatată de către actorii amenințărilor pentru a accesa sau a interacționa cu conturile de internet ale victimei. Funcția /hvncitem permite atacatorilor să execute comenzi personalizate pe desktop-ul ascuns prin manipularea parametrului URL „start”.

Trending

Cele mai văzute

Se încarcă...