Цветовая слепота КРЫСА

Исследователи кибербезопасности обнаружили угрожающий пакет Python, загруженный в индекс пакетов Python (PyPI), содержащий вредоносный похититель информации и троян удаленного доступа (RAT). Пакет получил название «colorfool» и был идентифицирован группой исследователей безопасности, которая назвала саму вредоносную угрозу «Colour-Blind».

Этот инцидент подчеркивает растущую тенденцию к демократизации киберпреступности, когда злоумышленники могут легко получить доступ к существующему коду и использовать его в своих целях. Исследователи объяснили, что демократизация онлайн-преступности может привести к усилению ландшафта угроз, поскольку злоумышленники могут создавать несколько вариантов своего вредоносного ПО, используя код, полученный от других.

Как и другие недавние мошеннические модули Python, Colour-Blind использует метод, чтобы скрыть свой плохой код в сценарии установки. Затем сценарий установки указывает на полезную нагрузку ZIP-архива, размещенную на законной платформе Discord. Это позволяет вредоносным программам избегать обнаружения с помощью некоторых традиционных мер безопасности, что затрудняет их обнаружение и удаление.

КРЫСА, не различающая цвета, несет в себе код игры «Змейка»

Вредоносное ПО использует механизм сохранения, который включает добавление сценария Visual Basic (VB) с именем Essentials. vbs» в папку «Автозагрузка» в меню «Пуск» пользователя. При входе в систему сценарий VB выполняет пакетный файл Windows, который вредоносная программа внедряет в ту же папку, что и «python.exe». Этот пакетный файл запускает вредоносное ПО с помощью Python каждый раз, когда пользователь входит в систему, гарантируя, что вредоносное ПО остается активным и присутствует в системе.

Вредоносная программа имеет функцию извлечения файлов, которая использует «transfer[.]sh», веб-сайт анонимной передачи файлов, который становится все более популярным среди злоумышленников. Вредоносное ПО также содержит код, связанный с социальной инженерией, который генерирует сообщение об ошибке, которое пытается убедить пользователя повторно запустить вредоносное ПО от имени администратора. Кроме того, вредоносное ПО содержит встроенную версию игры «Змейка», которая выглядит как прямая копия кода из репозитория GitHub. Однако эта игра не служит какой-либо очевидной цели и не запускается при выполнении.

Вредоносная программа запускает несколько подпроцессов, в том числе потоки для сбора файлов cookie, паролей и криптовалютных кошельков. Чтобы включить удаленное управление, вредоносное ПО запускает веб-приложение Flask. Затем угроза делает приложение доступным в Интернете через утилиту обратного туннеля Cloudflare под названием «cloudflared». Используя этот метод, вредоносное ПО может обойти любые входящие правила брандмауэра и сохранить постоянное присутствие в скомпрометированной системе.

Обширный набор угрожающих способностей, обнаруженных у дальтоников

Colour-BLind RAT и его различные вредоносные функции можно контролировать через веб-приложение. Функция токенов может сбрасывать токены входа в систему для нескольких приложений, которые используют хром через electronic.io или хром напрямую в качестве платформы приложения, включая Discord. Функция паролей выводит извлеченные пароли из веб-браузеров на экран, а функция файлов cookie выводит на экран все файлы cookie браузера. Функция ключей сбрасывает захваченные данные в кейлоггеры и показывает их на экране.

Среди возможностей RAT также есть функция приложений, которая предоставляет список активных в данный момент приложений и кнопку для их закрытия. Функция дампа данных отправляет все захваченные данные на URL-адрес C2. Экранная функция показывает скриншот рабочего стола пользователя и позволяет осуществлять элементарное взаимодействие, например нажатие клавиш. Угроза также может искать информацию об IP и отображать ее на экране, используя другую функцию. Он может открывать браузер на заданной веб-странице и запускать команды через операционную систему. Информация о криптовалютном кошельке может быть получена со взломанного устройства с помощью функции фантома/метамаски.

Тем не менее, Color-Blind RAT может выполнять еще больше действий на зараженных системах, например, использовать конечную точку /camera для слежки за ничего не подозревающим пользователем через веб-камеру. Существуют также различные конечные точки, начинающиеся с «hvnc», которые имеют дело со скрытым рабочим столом, созданным на компьютере жертвы. Функция /hvncmanager позволяет запускать веб-браузер на этом скрытом рабочем столе. Функция /hvnc используется для открытия скрытого рабочего стола и позволяет злоумышленникам взаимодействовать с ним. Злоумышленники могут использовать возможность открывать веб-браузер таким скрытым образом для доступа или взаимодействия с интернет-аккаунтами жертвы. Функция /hvncitem позволяет злоумышленникам выполнять пользовательские команды на скрытом рабочем столе, манипулируя параметром URL «start».