Farboslepý RAT

Výskumníci v oblasti kybernetickej bezpečnosti odhalili hrozivý balík Python nahraný do indexu balíkov Python (PyPI), ktorý obsahuje škodlivého zlodeja informácií a trójskeho koňa vzdialeného prístupu (RAT). Balík dostal názov „colorfool“ a identifikoval ho tím bezpečnostného výskumu, ktorý samotnú malvérovú hrozbu nazval „farebne slepá“.

Tento incident poukazuje na rastúci trend demokratizovanej počítačovej kriminality, kde zle zmýšľajúci aktéri môžu ľahko získať prístup k existujúcemu kódu a zmeniť jeho účel pre svoje vlastné zámery. Výskumníci vysvetlili, že demokratizácia online zločinu by mohla viesť k zintenzívneniu hrozieb, pretože útočníci môžu vytvárať viaceré varianty svojho malvéru využitím kódu získaného od iných.

Rovnako ako ostatné nedávne nečestné moduly Pythonu, aj Colour-Blind používa techniku na skrytie zlého kódu v skripte nastavenia. Inštalačný skript potom ukazuje na užitočné zaťaženie archívu ZIP, ktorý je umiestnený na legitímnej platforme Discord. To umožňuje malvéru vyhnúť sa detekcii niektorými tradičnými bezpečnostnými opatreniami, čo sťažuje detekciu a odstránenie.

Farboslepá krysa nesie kód pre hru „Had“.

Malvér využíva mechanizmus pretrvávania, ktorý zahŕňa pridanie skriptu Visual Basic (VB) s názvom „Essentials“. vbs' do priečinka 'Start Up' v používateľskej 'Ponuke Štart'. Po prihlásení skript VB spustí dávkový súbor systému Windows, ktorý malvér vloží do rovnakého priečinka ako „python.exe“. Tento dávkový súbor spustí malvér pomocou Pythonu zakaždým, keď sa používateľ prihlási, čím sa zabezpečí, že malvér zostane aktívny a prítomný v systéme.

Malvér má funkciu exfiltrácie súborov, ktorá využíva „prenos[.]sh“, anonymnú webovú stránku na prenos súborov, ktorá je medzi aktérmi hrozieb čoraz obľúbenejšia. Malvér obsahuje aj kód súvisiaci so sociálnym inžinierstvom, ktorý generuje chybové hlásenie, ktoré sa pokúša presvedčiť používateľa, aby znova spustil malvér ako správca. Malvér navyše obsahuje zabudovanú verziu hry „Snake“, ktorá sa javí ako priama kópia kódu z úložiska GitHub. Táto hra však neslúži žiadnemu zjavnému účelu a po spustení sa nespustí.

Malvér spúšťa viacero podprocesov, ktoré zahŕňajú vlákna na zhromažďovanie súborov cookie, hesiel a kryptomenových peňaženiek. Ak chcete povoliť diaľkové ovládanie, malvér spustí webovú aplikáciu Flask. Hrozba potom sprístupní aplikáciu na internet prostredníctvom nástroja spätného tunela Cloudflare s názvom „cloudflared“. Pomocou tejto metódy môže malvér obísť všetky prichádzajúce pravidlá brány firewall a udržať si trvalú prítomnosť v napadnutom systéme.

Rozsiahly súbor hrozivých schopností nájdených u farboslepých potkanov

Colour-BLind RAT a jeho rôzne škodlivé funkcie je možné ovládať prostredníctvom webovej aplikácie. Funkcia tokenov dokáže vypísať prihlasovacie tokeny pre niekoľko aplikácií, ktoré používajú chróm cez electron.io alebo chróm priamo ako aplikačný rámec, ktorý zahŕňa Discord. Funkcia hesiel vypisuje extrahované heslá z webových prehliadačov na obrazovku, zatiaľ čo funkcia cookies vypisuje všetky súbory cookie prehliadača na obrazovku. Funkcia kláves vypíše zachytené údaje do keyloggerov a zobrazí ich na obrazovke.

Medzi schopnosti RAT patrí aj funkcia aplikácií, ktorá poskytuje zoznam aktuálne aktívnych aplikácií a tlačidlo na ich ukončenie. Funkcia výpisu údajov odosiela všetky zachytené údaje na adresu URL C2. Funkcia obrazovky zobrazuje snímku obrazovky pracovnej plochy používateľa a umožňuje základnú interakciu, napríklad stlačenie klávesov. Hrozba môže tiež vyhľadať informácie o IP a zobraziť ich na obrazovke pomocou inej funkcie. Dokáže otvoriť prehliadač na danej webovej stránke a spúšťať príkazy cez operačný systém. Informácie o kryptomenovej peňaženke je možné získať z narušeného zariadenia pomocou funkcie fantóm/metamask.

Colour-Blind RAT však môže na infikovaných systémoch vykonávať ešte viac akcií, ako je použitie koncového bodu /camera na špehovanie nič netušiaceho používateľa prostredníctvom webovej kamery. Existujú tiež rôzne koncové body začínajúce na „hvnc“, ktoré sa zaoberajú skrytou pracovnou plochou vytvorenou na počítači obete. Funkcia /hvncmanager umožňuje spustenie webového prehliadača na tejto skrytej ploche. Funkcia /hvnc sa používa na otvorenie skrytej pracovnej plochy a umožňuje aktérom hrozby interakciu s ňou. Schopnosť otvoriť webový prehliadač takýmto skrytým spôsobom môžu aktéri hrozby využiť na prístup k internetovým účtom obete alebo na interakciu s nimi. Funkcia /hvncitem umožňuje útočníkom vykonávať vlastné príkazy na skrytej ploche prostredníctvom manipulácie s parametrom URL 'start'.