ПИ#РАЦИОН КРЫСА

Новая кампания нападения была поймана в дикой природе. В угрожающей операции используется новое вредоносное ПО на основе Python, получившее название PY#RATION RAT. Как обычно в случае с этими троянами удаленного доступа (RAT), PY#RATION имеет полный набор вредоносных возможностей, включая кражу данных и регистрацию ключей. Что делает эту угрозу особенно уникальной, так это использование WebSockets как для командно-контрольной (C2, C&C) связи, так и для эксфильтрации, а также ее способность уклоняться от обнаружения с помощью решений для защиты от вредоносных программ и мер сетевой безопасности.

Подробности о PY#RATION RAT были раскрыты в отчете исследователей кибербезопасности. Согласно их выводам, киберпреступники, стоящие за угрозой, сосредоточены в основном на целях в Великобритании или Северной Америке, судя по фишинговым приманкам, используемым в рамках атаки.

Цепочка атак PY#RATION

Атака начинается с вводящего в заблуждение фишингового письма, содержащего ZIP-архив. Внутри архива находятся два файла с ярлыками (.LNK), изображающие лицевую и оборотную стороны предположительно подлинных водительских прав Великобритании. При открытии каждого из этих файлов .LNK два текстовых файла извлекаются с удаленного сервера, а затем сохраняются как файлы .BAT.

Пока жертве показываются изображения-приманки, вредоносные файлы выполняются в фоновом режиме системы. Кроме того, с сервера C2 загружается еще один пакетный сценарий, который получает другие полезные нагрузки, включая двоичный файл Python с именем «CortanaAssistance.exe». Использование Cortana, виртуального помощника Microsoft, подразумевает, что злоумышленники могли попытаться замаскировать свой поврежденный код под подлинный системный файл.

Вредоносные возможности PY#RATION RAT

Обнаружены две версии троянца PY#RATION (версия 1.0 и 1.6). Более новая версия включает около 1000 строк дополнительного кода, который добавляет функции сетевого сканирования для проверки скомпрометированных сетей и уровень шифрования кода Python с использованием модуля fernet. Кроме того, угроза может передавать файлы со взломанного хоста на его C2-сервер и наоборот.

RAT может начать записывать нажатия клавиш, выполнять системные команды, извлекать пароли и файлы cookie из веб-браузеров, захватывать данные буфера обмена и обнаруживать наличие программного обеспечения безопасности. Злоумышленники могут использовать PY#RATION в качестве шлюза для развертывания полезной нагрузки других угроз, таких как еще один похититель информации на основе Python, специально созданный для сбора данных из веб-браузеров и криптовалютных кошельков.