PY#RATION RÅTTA

En ny attackkampanj har fångats i det vilda. Den hotfulla operationen använder en ny Python-baserad skadlig programvara kallad PY#RATION RAT. Som vanligtvis är fallet med dessa fjärråtkomsttrojaner (RAT), har PY#RATION en omfattande uppsättning skadliga funktioner, inklusive dataexfiltrering och tangentloggning. Det som gör detta hot särskilt unikt är dess användning av WebSockets för både Command-and-Control (C2, C&C) kommunikation och exfiltrering, såväl som dess förmåga att undvika upptäckt från anti-malware-lösningar och nätverkssäkerhetsåtgärder.

Detaljerna om PY#RATION RAT har avslöjats i en rapport från cybersäkerhetsforskare. Enligt deras resultat är cyberbrottslingarna bakom hotet mestadels fokuserade på mål i Storbritannien eller Nordamerika, att döma av nätfiskebeten som användes som en del av attacken.

Attackkedjan av PY#RATION

Attacken börjar med ett bedrägligt nätfiske-e-postmeddelande som innehåller ett ZIP-arkiv. Inuti arkivet finns två genvägsfiler (.LNK) som poserar som fram- och bakbilder av ett förmodat äkta brittiskt körkort. När var och en av dessa .LNK-filer öppnas, hämtas två textfiler från en fjärrserver och sparas sedan som .BAT-filer.

Medan offret visas lockelsebilderna körs de skadliga filerna tyst i systemets bakgrund. Dessutom laddas ett annat batchskript ned från C2-servern som får andra nyttolaster, inklusive en Python-binär med namnet 'CortanaAssistance.exe.' Användningen av Cortana, Microsofts virtuella assistent, innebär att angriparna kan ha försökt dölja sin korrupta kod som en legitim systemfil.

PY#RATION RAT:s skadliga egenskaper

Två PY#RATION trojaner har upptäckts (version 1.0 och 1.6). Den nyare versionen innehåller nästan 1 000 rader med ytterligare kod, som lägger till nätverksskanningsfunktioner för att undersöka komprometterade nätverk och ett krypteringslager över Python-koden med fernet-modulen. Dessutom kan hotet överföra filer från den intrångade värden till sin C2-server och tvärtom.

RAT kan börja spela in tangenttryckningar, utföra systemkommandon, extrahera lösenord och cookies från webbläsare, fånga urklippsdata och upptäcka närvaron av säkerhetsprogramvara. Hotaktörerna kan använda PY#RATION som en inkörsport för att distribuera nyttolasten av andra hot, till exempel en annan Python-baserad info-stöldare som uttryckligen skapats för att samla in data från webbläsare och kryptovaluta-plånböcker.

Trendigt

Mest sedda

Läser in...