PY#RATION RAT

Një fushatë e re sulmi është kapur në natyrë. Operacioni kërcënues përdor një malware të ri të bazuar në Python të quajtur PY#RATION RAT. Siç ndodh zakonisht me këta Trojan të Qasjes në Distanca (RAT), PY#RATION ka një grup të plotë aftësish të dëmshme, duke përfshirë ekfiltrimin e të dhënave dhe regjistrimin e çelësave. Ajo që e bën këtë kërcënim veçanërisht unik është përdorimi i tij i WebSockets si për komunikimin e komandimit dhe kontrollit (C2, C&C) ashtu edhe për ekfiltrimin, si dhe aftësinë e tij për të shmangur zbulimin nga zgjidhjet kundër malware dhe masat e sigurisë së rrjetit.

Detajet rreth PY#RATION RAT janë zbuluar në një raport nga studiues të sigurisë kibernetike. Sipas gjetjeve të tyre, kriminelët kibernetikë pas kërcënimit janë të përqendruar kryesisht në objektiva në Mbretërinë e Bashkuar ose Amerikën e Veriut, duke gjykuar nga joshjet e phishing të përdorura si pjesë e sulmit.

Zinxhiri i Sulmit i PY#RATION

Sulmi fillon me një email mashtrues phishing që përmban një arkiv ZIP. Brenda arkivit janë dy skedarë të shkurtoreve (.LNK), të cilat paraqiten si imazhet e përparme dhe të pasme të një patentë shoferi të supozuar të vërtetë në Mbretërinë e Bashkuar. Me hapjen e secilit prej këtyre skedarëve .LNK, dy skedarë teksti merren nga një server në distancë dhe më pas ruhen si skedarë .BAT.

Ndërsa viktimës i shfaqen imazhet e mashtrimit, skedarët e dëmshëm ekzekutohen në heshtje në sfondin e sistemit. Për më tepër, një skrip tjetër grupi shkarkohet nga serveri C2 që merr ngarkesa të tjera, duke përfshirë një binar Python të quajtur 'CortanaAssistance.exe.' Përdorimi i Cortana, asistenti virtual i Microsoft-it, nënkupton që sulmuesit mund të kenë tentuar të maskojnë kodin e tyre të dëmtuar si një skedar të ligjshëm të sistemit.

Aftësitë e dëmshme të PY#RATION RAT

Janë zbuluar dy versione trojan PY#RATION (versioni 1.0 dhe 1.6). Versioni më i ri përfshin gati 1000 rreshta kodi shtesë, i cili shton veçori të skanimit të rrjetit për të ekzaminuar rrjetet e komprometuara dhe një shtresë enkriptimi mbi kodin Python duke përdorur modulin fernet. Për më tepër, kërcënimi mund të transferojë skedarë nga hosti i shkelur në serverin e tij C2 dhe anasjelltas.

RAT mund të fillojë të regjistrojë goditjet e tasteve, të ekzekutojë komandat e sistemit, të nxjerrë fjalëkalime dhe skedarë skedarësh nga shfletuesit e uebit, të kapë të dhënat e tastierës dhe të zbulojë praninë e softuerit të sigurisë. Aktorët e kërcënimit mund të përdorin PY#RATION si një portë për vendosjen e ngarkesave të kërcënimeve të tjera, të tilla si një tjetër vjedhës informacioni i bazuar në Python, i krijuar në mënyrë eksplicite për të mbledhur të dhëna nga shfletuesit e internetit dhe kuletat e kriptomonedhave.

Në trend

Më e shikuara

Po ngarkohet...