Färgblind RATTA

Cybersäkerhetsforskare har avslöjat ett hotfullt Python-paket som laddats upp till Python Package Index (PyPI), som innehåller en skadlig informationsstöldare och Remote Access Trojan (RAT). Paketet fick namnet "colourfool" och identifierades av ett säkerhetsforskningsteam som döpte själva hotet till skadlig programvara "Colour-Blind".

Den här incidenten belyser den växande trenden av demokratiserad cyberbrottslighet, där illasinnade aktörer enkelt kan komma åt och använda befintlig kod för sina egna avsikter. Forskarna förklarade att demokratiseringen av onlinebrottsligheten kan leda till ett intensifierat hotlandskap, eftersom angripare kan skapa flera varianter av sin skadliga programvara genom att utnyttja kod som kommer från andra.

Liksom andra nya oseriösa Python-moduler använder Colour-Blind en teknik för att dölja sin dåliga kod i installationsskriptet. Installationsskriptet pekar sedan på en ZIP-arkivnyttolast som finns på den legitima Discord-plattformen. Detta gör att skadlig programvara kan undvika upptäckt med vissa traditionella säkerhetsåtgärder, vilket gör det svårare att upptäcka och ta bort.

Den färgblinda RATTEN bär koden för "Snake"-spelet

Skadlig programvara använder en beständighetsmekanism som innebär att man lägger till ett Visual Basic-skript (VB) som heter 'Essentials. vbs' till mappen 'Start Up' i användarens 'Start-meny'. Vid inloggning kör VB-skriptet en Windows-batchfil som skadlig programvara injicerar i samma mapp som 'python.exe'. Denna batchfil startar skadlig programvara med Python varje gång användaren loggar in, vilket säkerställer att skadlig programvara förblir aktiv och närvarande på systemet.

Skadlig programvara har en filexfiltreringsfunktion som utnyttjar "transfer[.]sh", en anonym filöverföringswebbplats som blir alltmer populär bland hotaktörer. Skadlig programvara innehåller också kod relaterad till social ingenjörskonst, som genererar ett felmeddelande som försöker övertala användaren att köra skadlig programvara igen som administratör. Dessutom innehåller skadlig programvara en inbäddad version av "Snake"-spelet som verkar vara en direkt kopia av kod från ett GitHub-förråd. Det här spelet tjänar dock inget uppenbart syfte och startar inte när det körs.

Skadlig programvara utlöser flera underprocesser, som inkluderar trådar för insamling av cookies, lösenord och plånböcker för kryptovaluta. För att aktivera fjärrkontroll startar skadlig programvara en Flask-webbapplikation. Hotet gör sedan applikationen tillgänglig för internet via Cloudflares omvända tunnelverktyg som heter "cloudflared". Genom att använda den här metoden kan den skadliga programvaran kringgå alla regler för inkommande brandvägg och upprätthålla en bestående närvaro på det komprometterade systemet.

Den expansiva uppsättningen av hotfulla funktioner som finns i den färgblinda RAT

Colour-BLind RAT och dess olika skadliga funktioner kan styras via webbapplikationen. Tokenfunktionen kan dumpa inloggningstokens för flera applikationer som använder krom via electron.io eller krom direkt som applikationsramverk, vilket inkluderar Discord. Lösenordsfunktionen dumpar extraherade lösenord från webbläsare till skärmen, medan cookiesfunktionen dumpar alla webbläsarcookies till skärmen. Nyckelfunktionen dumpar infångad data till nyckelloggare och visar den på skärmen.

Bland funktionerna i RAT är också applikationsfunktionen, som ger en lista över de för närvarande aktiva applikationerna och en knapp för att avsluta dem. Datadumpningsfunktionen skickar all infångad data till C2 URL. Skärmfunktionen visar en skärmdump av användarens skrivbord och möjliggör rudimentär interaktion, såsom knapptryckningar. Hotet kan också slå upp IP-information och visa den på skärmen med en annan funktion. Den kan öppna en webbläsare till en given webbsida och köra kommandon via operativsystemet. Information om kryptovaluta plånbok kan hämtas från den skadade enheten via fantom/metamask-funktionen.

Colour-Blind RAT kan dock utföra ännu fler åtgärder på de infekterade systemen, som att använda /camera endpoint för att spionera på en intet ont anande användare via en webbkamera. Det finns också olika slutpunkter som börjar med 'hvnc', som handlar om ett dolt skrivbord skapat på offrets dator. /hvncmanager-funktionen gör det möjligt att starta en webbläsare på detta dolda skrivbord. /hvnc-funktionen används för att öppna det dolda skrivbordet och den låter hotaktörerna interagera med det. Möjligheten att öppna en webbläsare på ett så dolt sätt kan utnyttjas av hotaktörerna för att komma åt eller interagera med offrets internetkonton. /hvncitem-funktionen gör det möjligt för angriparna att utföra anpassade kommandon på det dolda skrivbordet genom att manipulera URL-parametern 'start'.