Далтонист ПАЦ

Истраживачи кибернетичке безбедности открили су претећи Питхон пакет који је учитан у Питхон Пацкаге Индек (ПиПИ), који садржи штетни алат за крађу информација и тројанац за даљински приступ (РАТ). Пакет је назван 'цолоурфоол' и идентификовао га је безбедносни истраживачки тим, који је саму претњу од малвера назвао 'Цолоур-Блинд'.

Овај инцидент наглашава растући тренд демократизованог сајбер криминала, где злонамерни актери могу лако да приступе и пренамене постојећег кода за своје сопствене намере. Истраживачи су објаснили да би демократизација онлајн криминала могла да доведе до појачаног окружења претњи, јер нападачи могу да креирају више варијанти свог малвера користећи код који потиче од других.

Као и други недавни лажни Питхон модули, Цолоур-Блинд користи технику да сакрије свој лош код у скрипти за подешавање. Скрипта за подешавање затим указује на корисни терет ЗИП архиве који се налази на легитимној Дисцорд платформи. Ово омогућава малверу да избегне откривање помоћу неких традиционалних безбедносних мера, што га чини тежим за откривање и уклањање.

Далтонисти Пацов носи шифру за игру 'Змија'

Злонамерни софтвер користи механизам постојаности који укључује додавање Висуал Басиц (ВБ) скрипте под називом „Ессентиалс“. вбс“ у фасциклу „Старт Уп“ у корисничком „Старт менију“. Након пријављивања, ВБ скрипта извршава Виндовс скупну датотеку коју малвер убацује у исту фасциклу као и „питхон.еке“. Ова батцх датотека покреће малвер користећи Питхон сваки пут када се корисник пријави, осигуравајући да малвер остане активан и присутан на систему.

Малвер има функцију ексфилтрације датотека која користи „трансфер[.]сх“, анонимну веб локацију за пренос датотека која је све популарнија међу актерима претњи. Малвер такође садржи код повезан са друштвеним инжењерингом, који генерише поруку о грешци која покушава да убеди корисника да поново покрене малвер као администратор. Поред тога, малвер садржи уграђену верзију игре 'Снаке' која изгледа као директна копија кода из ГитХуб спремишта. Међутим, ова игра нема никакву очигледну сврху и не почиње када се изврши.

Злонамерни софтвер покреће више подпроцеса, који укључују нити за прикупљање колачића, лозинки и новчаника за криптовалуте. Да би омогућио даљинско управљање, злонамерни софтвер покреће Фласк веб апликацију. Претња затим чини апликацију доступном на Интернету преко Цлоудфларе-овог услужног програма за обрнути тунел под називом „цлоудфларед“. Коришћењем ове методе, злонамерни софтвер може да заобиђе сва улазна правила заштитног зида и да задржи стално присуство на компромитованом систему.

Експанзивни скуп претећих способности пронађених у далтонистима

Цолоур-Блинд РАТ и његове различите штетне функције могу се контролисати преко веб апликације. Функција токена може да избаци токене за пријаву за неколико апликација које користе хром преко елецтрон.ио или хром директно као оквир апликације, што укључује Дисцорд. Функција лозинки избацује извучене лозинке из веб претраживача на екран, док функција колачића избацује све колачиће претраживача на екран. Функција тастера избацује снимљене податке у кеи логгере и приказује их на екрану.

Међу могућностима РАТ-а је и функција апликација, која обезбеђује листу тренутно активних апликација и дугме за њихово затварање. Функција думп података шаље све снимљене податке на Ц2 УРЛ. Функција екрана приказује снимак екрана корисника радне површине и омогућава рудиментарну интеракцију, попут притиска на тастере. Претња такође може потражити ИП информације и приказати их на екрану користећи другу функцију. Може да отвори претраживач на дату веб страницу и покрене команде преко оперативног система. Информације о новчанику криптовалута могу се прикупити са оштећеног уређаја путем функције фантома/метамаске.

Међутим, Цолор-Блинд РАТ може да изврши још више радњи на зараженим системима, као што је коришћење крајње тачке /цамера за шпијунирање несуђеног корисника путем веб камере. Такође постоје различите крајње тачке које почињу са 'хвнц', које се баве скривеном радном површином креираном на жртвиној машини. Функција /хвнцманагер омогућава покретање веб претраживача на овој скривеној радној површини. Функција /хвнц се користи за отварање скривене радне површине и омогућава актерима претњи да комуницирају са њом. Способност отварања веб претраживача на тако скривен начин може бити искоришћена од стране актера претњи за приступ или интеракцију са интернет налозима жртве. Функција /хвнцитем омогућава нападачима да изврше прилагођене команде на скривеној радној површини путем манипулације УРЛ параметром 'старт'.