RAT-I verbër me ngjyra

Studiuesit e sigurisë kibernetike kanë zbuluar një paketë kërcënuese Python të ngarkuar në Indeksin e Paketave Python (PyPI), që përmban një vjedhës informacioni të dëmshëm dhe një Trojan të Qasjes në Remote (RAT). Paketa u quajt 'colourfool' dhe u identifikua nga një ekip kërkimor i sigurisë, i cili e quajti vetë kërcënimin e malware 'Colour-Blind'.

Ky incident nxjerr në pah tendencën në rritje të krimit kibernetik të demokratizuar, ku aktorët me mendje të keqe mund të kenë akses dhe të ripërdorin kodin ekzistues për qëllimet e tyre. Studiuesit shpjeguan se demokratizimi i krimit në internet mund të çojë në një peizazh të intensifikuar kërcënimi, pasi sulmuesit mund të krijojnë variante të shumta të malware-it të tyre duke shfrytëzuar kodin me burim nga të tjerët.

Ashtu si modulet e tjera mashtruese të Python të kohëve të fundit, Colour-Blind përdor një teknikë për të fshehur kodin e tij të keq në skriptin e konfigurimit. Skripti i konfigurimit më pas tregon për ngarkesën e arkivit ZIP që është pritur në platformën legjitime Discord. Kjo lejon që malware të shmangë zbulimin nga disa masa tradicionale të sigurisë, duke e bërë më të vështirë zbulimin dhe heqjen.

Rat-i verbëri me ngjyra mban kodin për lojën 'Gjarpër'

Malware përdor një mekanizëm të qëndrueshmërisë që përfshin shtimin e një skripti të Visual Basic (VB) të quajtur 'Essentials'. vbs' në dosjen 'Start Up' në 'Start Menu' të përdoruesit. Pas identifikimit, skripti VB ekzekuton një skedar grumbull të Windows që malware e injekton në të njëjtën dosje si 'python.exe.' Ky skedar grumbull fillon malware duke përdorur Python sa herë që përdoruesi identifikohet, duke siguruar që malware të mbetet aktiv dhe i pranishëm në sistem.

Malware ka një funksion të eksfiltrimit të skedarëve që përdor 'transfer[.]sh', një uebsajt anonim i transferimit të skedarëve që po bëhet gjithnjë e më i popullarizuar në mesin e aktorëve të kërcënimit. Malware përmban gjithashtu kodin që lidhet me inxhinierinë sociale, i cili gjeneron një mesazh gabimi që përpiqet të bindë përdoruesin të ri-ekzekutojë malware-in si administrator. Për më tepër, malware përmban një version të integruar të lojës 'Snake' që duket të jetë një kopje e drejtpërdrejtë e kodit nga një depo e GitHub. Sidoqoftë, kjo lojë nuk i shërben ndonjë qëllimi të dukshëm dhe nuk fillon kur ekzekutohet.

Malware aktivizon nënprocese të shumta, të cilat përfshijnë tema për mbledhjen e kukive, fjalëkalime dhe kuletat e kriptomonedhave. Për të aktivizuar telekomandën, malware nis një aplikacion ueb Flask. Kërcënimi më pas e bën aplikacionin të aksesueshëm në internet nëpërmjet programit të tunelit të kundërt të Cloudflare të quajtur 'cloudflared'. Duke përdorur këtë metodë, malware mund të anashkalojë çdo rregull të murit të zjarrit në hyrje dhe të mbajë një prani të vazhdueshme në sistemin e komprometuar.

Një grup i gjerë i aftësive kërcënuese të gjetura te miu i verbër me ngjyra

Color-Blind RAT dhe funksionalitetet e tij të ndryshme të dëmshme mund të kontrollohen nëpërmjet aplikacionit Web. Funksioni i shenjave mund të hedhë shenjat e hyrjes për disa aplikacione që përdorin krom nëpërmjet elektron.io ose kromit direkt si një kornizë aplikacioni, i cili përfshin Discord. Funksioni i fjalëkalimeve i hedh në ekran fjalëkalimet e nxjerra nga shfletuesit e uebit, ndërsa funksioni i kukive i hedh në ekran të gjitha kukit e shfletuesit. Funksioni i tasteve i hedh të dhënat e marra te regjistruesit e çelësave dhe i shfaq ato në ekran.

Ndër aftësitë e RAT është gjithashtu funksioni i aplikacioneve, i cili ofron një listë të aplikacioneve aktualisht aktive dhe një buton për t'i përfunduar ato. Funksioni i hedhjes së të dhënave dërgon të gjitha të dhënat e kapura në URL-në C2. Funksioni i ekranit tregon një pamje të ekranit të desktopit të përdoruesit dhe lejon ndërveprim rudimentar, si p.sh. shtypja e tastit. Kërcënimi gjithashtu mund të kërkojë informacione IP dhe ta shfaqë atë në ekran duke përdorur një funksion tjetër. Mund të hapë një shfletues në një faqe interneti të caktuar dhe të ekzekutojë komanda përmes sistemit operativ. Informacioni i portofolit të kriptomonedhës mund të merret nga pajisja e shkelur nëpërmjet funksionit fantazmë/Metamask.

Megjithatë, Color-Blind RAT mund të kryejë edhe më shumë veprime në sistemet e infektuara, si p.sh. përdorimi i pikës fundore /camera për të spiunuar një përdorues që nuk dyshon nëpërmjet një kamere në internet. Ekzistojnë gjithashtu pika të ndryshme fundore që fillojnë me 'hvnc', të cilat kanë të bëjnë me një desktop të fshehur të krijuar në makinën e viktimës. Funksioni /hvncmanager lejon fillimin e një shfletuesi Web në këtë desktop të fshehur. Funksioni /hvnc përdoret për të hapur desktopin e fshehur dhe i lejon aktorët e kërcënimit të ndërveprojnë me të. Aftësia për të hapur një shfletues uebi në një mënyrë kaq të fshehur mund të shfrytëzohet nga aktorët e kërcënimit për të hyrë ose ndërvepruar me llogaritë e internetit të viktimës. Funksioni /hvncitem u mundëson sulmuesve të ekzekutojnë komanda të personalizuara në desktopin e fshehur nëpërmjet manipulimit të parametrit URL 'start'.