Barvno slep RAT

Raziskovalci kibernetske varnosti so odkrili nevaren paket Python, naložen v indeks paketov Python (PyPI), ki vsebuje škodljivega krajca informacij in trojanca za oddaljeni dostop (RAT). Paket so poimenovali 'colourfool', identificirala pa ga je varnostna raziskovalna skupina, ki je samo grožnjo zlonamerne programske opreme poimenovala 'Colour-Blind'.

Ta incident poudarja naraščajoči trend demokratiziranega kibernetskega kriminala, kjer lahko slaboumni akterji zlahka dostopajo do obstoječe kode in jo spremenijo za svoje namene. Raziskovalci so pojasnili, da bi lahko demokratizacija spletnega kriminala privedla do povečane grožnje, saj lahko napadalci ustvarijo več različic svoje zlonamerne programske opreme z uporabo kode, pridobljene od drugih.

Tako kot drugi nedavni lažni moduli Python tudi Colour-Blind uporablja tehniko za prikrivanje svoje slabe kode v namestitvenem skriptu. Nastavitveni skript nato kaže na uporabniško vsebino arhiva ZIP, ki gostuje na zakoniti platformi Discord. To omogoča zlonamerni programski opremi, da se izogne odkrivanju nekaterih tradicionalnih varnostnih ukrepov, zaradi česar jo je težje odkriti in odstraniti.

Barvno slepa PODGANA nosi kodo za igro "Kača".

Zlonamerna programska oprema uporablja mehanizem obstojnosti, ki vključuje dodajanje skripta Visual Basic (VB) z imenom 'Essentials. vbs" v mapo "Start Up" v uporabniškem meniju "Start". Po prijavi skript VB izvede paketno datoteko sistema Windows, ki jo zlonamerna programska oprema vstavi v isto mapo kot »python.exe«. Ta paketna datoteka zažene zlonamerno programsko opremo z uporabo Pythona vsakič, ko se uporabnik prijavi, in tako zagotovi, da zlonamerna programska oprema ostane aktivna in prisotna v sistemu.

Zlonamerna programska oprema ima funkcijo izločanja datotek, ki izkorišča »transfer[.]sh«, anonimno spletno mesto za prenos datotek, ki je vse bolj priljubljeno med akterji groženj. Zlonamerna programska oprema vsebuje tudi kodo, povezano s socialnim inženiringom, ki ustvari sporočilo o napaki, ki skuša uporabnika prepričati, da znova zažene zlonamerno programsko opremo kot skrbnik. Poleg tega zlonamerna programska oprema vsebuje vdelano različico igre 'Snake', ki je videti kot neposredna kopija kode iz repozitorija GitHub. Vendar pa ta igra nima očitnega namena in se ne zažene, ko se izvede.

Zlonamerna programska oprema sproži več podprocesov, ki vključujejo niti za zbiranje piškotkov, gesel in denarnic za kriptovalute. Za omogočanje daljinskega nadzora zlonamerna programska oprema zažene spletno aplikacijo Flask. Grožnja nato naredi aplikacijo dostopno do interneta prek pripomočka Cloudflare za povratni tunel z imenom »cloudflared«. Z uporabo te metode lahko zlonamerna programska oprema zaobide morebitna vhodna pravila požarnega zidu in ohrani trajno prisotnost v ogroženem sistemu.

Obsežen nabor nevarnih zmožnosti, ki jih najdemo v barvno slepi RAT

Colour-BLind RAT in njegove različne škodljive funkcije je mogoče nadzorovati prek spletne aplikacije. Funkcija žetonov lahko izpiše prijavne žetone za več aplikacij, ki uporabljajo krom prek electron.io ali krom neposredno kot ogrodje aplikacije, kar vključuje Discord. Funkcija gesel izpiše ekstrahirana gesla iz spletnih brskalnikov na zaslon, medtem ko funkcija piškotkov izpiše vse piškotke brskalnika na zaslon. Funkcija tipk prenese zajete podatke v zapisovalnike ključev in jih prikaže na zaslonu.

Med zmožnostmi RAT je tudi funkcija aplikacij, ki ponuja seznam trenutno aktivnih aplikacij in gumb za njihovo prekinitev. Funkcija izpisa podatkov pošlje vse zajete podatke na URL C2. Funkcija zaslona prikazuje posnetek zaslona uporabnikovega namizja in omogoča osnovno interakcijo, kot so pritiski tipk. Grožnja lahko tudi poišče podatke o IP-ju in jih prikaže na zaslonu z uporabo druge funkcije. V brskalniku lahko odpre določeno spletno stran in izvaja ukaze prek operacijskega sistema. Podatke o denarnici za kriptovalute je mogoče pridobiti iz vdrene naprave prek funkcije fantoma/metamaske.

Vendar pa lahko barvno slepi RAT izvede še več dejanj na okuženih sistemih, kot je uporaba končne točke /camera za vohunjenje za nič hudega slutečim uporabnikom prek spletne kamere. Obstajajo tudi različne končne točke, ki se začnejo z 'hvnc' in se ukvarjajo s skritim namizjem, ustvarjenim na žrtvinem računalniku. Funkcija /hvncmanager omogoča zagon spletnega brskalnika na tem skritem namizju. Funkcija /hvnc se uporablja za odpiranje skritega namizja in akterjem groženj omogoča interakcijo z njim. Možnost odpiranja spletnega brskalnika na tako skriti način lahko akterji groženj izkoristijo za dostop do internetnih računov žrtve ali interakcijo z njimi. Funkcija /hvncitem omogoča napadalcem izvajanje ukazov po meri na skritem namizju z manipulacijo parametra URL 'start'.