కలర్-బ్లైండ్ RAT
సైబర్ సెక్యూరిటీ పరిశోధకులు పైథాన్ ప్యాకేజీ ఇండెక్స్ (PyPI)కి అప్లోడ్ చేయబడిన ఒక ప్రమాదకరమైన పైథాన్ ప్యాకేజీని కనుగొన్నారు, ఇందులో హానికరమైన సమాచార దొంగిలించేవాడు మరియు రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) ఉన్నాయి. ఈ ప్యాకేజీకి 'కలర్ఫూల్' అని పేరు పెట్టారు మరియు భద్రతా పరిశోధన బృందం గుర్తించింది, మాల్వేర్ ముప్పు దానికే 'కలర్-బ్లైండ్' అని పేరు పెట్టింది.
ఈ సంఘటన డెమోక్రటైజ్డ్ సైబర్ క్రైమ్ యొక్క పెరుగుతున్న ట్రెండ్ను హైలైట్ చేస్తుంది, ఇక్కడ చెడు మనస్సు గల నటీనటులు తమ స్వంత ఉద్దేశాల కోసం ఇప్పటికే ఉన్న కోడ్ను సులభంగా యాక్సెస్ చేయవచ్చు మరియు తిరిగి ఉపయోగించుకోవచ్చు. ఆన్లైన్ నేరం యొక్క ప్రజాస్వామ్యీకరణ తీవ్ర ముప్పు ప్రకృతి దృశ్యానికి దారితీస్తుందని పరిశోధకులు వివరించారు, ఎందుకంటే దాడి చేసేవారు ఇతరుల నుండి సేకరించిన కోడ్ను ప్రభావితం చేయడం ద్వారా వారి మాల్వేర్ యొక్క బహుళ వైవిధ్యాలను సృష్టించవచ్చు.
ఇతర ఇటీవలి రోగ్ పైథాన్ మాడ్యూల్స్ వలె, కలర్-బ్లైండ్ సెటప్ స్క్రిప్ట్లో దాని చెడు కోడ్ను దాచడానికి ఒక సాంకేతికతను ఉపయోగిస్తుంది. సెటప్ స్క్రిప్ట్ అప్పుడు చట్టబద్ధమైన డిస్కార్డ్ ప్లాట్ఫారమ్లో హోస్ట్ చేయబడిన జిప్ ఆర్కైవ్ పేలోడ్ను సూచిస్తుంది. ఇది కొన్ని సాంప్రదాయ భద్రతా చర్యల ద్వారా మాల్వేర్ను గుర్తించకుండా తప్పించుకోవడానికి అనుమతిస్తుంది, దీని వలన గుర్తించడం మరియు తీసివేయడం మరింత కష్టమవుతుంది.
కలర్-బ్లైండ్ RAT 'స్నేక్' గేమ్ కోసం కోడ్ను కలిగి ఉంటుంది
మాల్వేర్ 'ఎసెన్షియల్స్' పేరుతో విజువల్ బేసిక్ (VB) స్క్రిప్ట్ను జోడించే ఒక పెర్సిస్టెన్స్ మెకానిజంను ఉపయోగిస్తుంది. యూజర్ యొక్క 'స్టార్ట్ మెనూ'లోని 'స్టార్ట్ అప్' ఫోల్డర్కు vbs'. లాగిన్ అయిన తర్వాత, VB స్క్రిప్ట్ విండోస్ బ్యాచ్ ఫైల్ను అమలు చేస్తుంది, మాల్వేర్ 'python.exe' వలె అదే ఫోల్డర్లో ఇంజెక్ట్ చేస్తుంది. ఈ బ్యాచ్ ఫైల్ వినియోగదారు లాగిన్ అయిన ప్రతిసారీ పైథాన్ని ఉపయోగించి మాల్వేర్ను ప్రారంభిస్తుంది, మాల్వేర్ సిస్టమ్లో యాక్టివ్గా మరియు ఉనికిలో ఉందని నిర్ధారిస్తుంది.
మాల్వేర్ ఫైల్ ఎక్స్ఫిల్ట్రేషన్ ఫంక్షన్ను కలిగి ఉంది, ఇది 'ట్రాన్స్ఫర్[.]sh'ని ప్రభావితం చేస్తుంది, ఇది అనామక ఫైల్ బదిలీ వెబ్సైట్, ఇది ముప్పు నటుల మధ్య బాగా ప్రాచుర్యం పొందింది. మాల్వేర్ సోషల్ ఇంజినీరింగ్కు సంబంధించిన కోడ్ను కూడా కలిగి ఉంది, ఇది ఒక దోష సందేశాన్ని ఉత్పత్తి చేస్తుంది, ఇది మాల్వేర్ను నిర్వాహకుడిగా మళ్లీ అమలు చేయడానికి వినియోగదారుని ఒప్పించడానికి ప్రయత్నిస్తుంది. అదనంగా, మాల్వేర్ 'స్నేక్' గేమ్ యొక్క ఎంబెడెడ్ వెర్షన్ను కలిగి ఉంది, ఇది GitHub రిపోజిటరీ నుండి కోడ్ యొక్క ప్రత్యక్ష కాపీలా కనిపిస్తుంది. అయితే, ఈ గేమ్ ఎటువంటి స్పష్టమైన ప్రయోజనాన్ని అందించదు మరియు అమలు చేయబడినప్పుడు ప్రారంభించబడదు.
కుక్కీలు, పాస్వర్డ్లు మరియు క్రిప్టోకరెన్సీ వాలెట్లను సేకరించేందుకు థ్రెడ్లను కలిగి ఉండే బహుళ ఉపప్రాసెసెస్లను మాల్వేర్ ట్రిగ్గర్ చేస్తుంది. రిమోట్ కంట్రోల్ని ప్రారంభించడానికి, మాల్వేర్ Flask వెబ్ అప్లికేషన్ను ప్రారంభిస్తుంది. ముప్పు 'క్లౌడ్ఫ్లేర్డ్' పేరుతో క్లౌడ్ఫ్లేర్ యొక్క రివర్స్ టన్నెల్ యుటిలిటీ ద్వారా అప్లికేషన్ను ఇంటర్నెట్కు యాక్సెస్ చేయగలదు. ఈ పద్ధతిని ఉపయోగించడం ద్వారా, మాల్వేర్ ఏదైనా ఇన్బౌండ్ ఫైర్వాల్ నియమాలను దాటవేయగలదు మరియు రాజీపడిన సిస్టమ్లో స్థిరమైన ఉనికిని కలిగి ఉంటుంది.
కలర్-బ్లైండ్ RATలో కనుగొనబడిన బెదిరింపు సామర్థ్యాల యొక్క విస్తారమైన సెట్
కలర్-బ్లైండ్ RAT మరియు దాని వివిధ హానికరమైన కార్యాచరణలను వెబ్ అప్లికేషన్ ద్వారా నియంత్రించవచ్చు. ఎలెక్ట్రాన్.io లేదా క్రోమియం ద్వారా క్రోమియంను నేరుగా అప్లికేషన్ ఫ్రేమ్వర్క్గా ఉపయోగించే అనేక అప్లికేషన్ల కోసం టోకెన్ల ఫంక్షన్ లాగిన్ టోకెన్లను డంప్ చేయగలదు, ఇందులో డిస్కార్డ్ కూడా ఉంటుంది. పాస్వర్డ్ల ఫంక్షన్ వెబ్ బ్రౌజర్ల నుండి సంగ్రహించిన పాస్వర్డ్లను స్క్రీన్కు డంప్ చేస్తుంది, అయితే కుక్కీల ఫంక్షన్ అన్ని బ్రౌజర్ కుక్కీలను స్క్రీన్కు డంప్ చేస్తుంది. కీల ఫంక్షన్ క్యాప్చర్ చేయబడిన డేటాను కీ లాగర్లకు డంప్ చేస్తుంది మరియు దానిని స్క్రీన్పై చూపుతుంది.
RAT యొక్క సామర్థ్యాలలో అప్లికేషన్స్ ఫంక్షన్ కూడా ఉంది, ఇది ప్రస్తుతం యాక్టివ్గా ఉన్న అప్లికేషన్ల జాబితాను మరియు వాటిని ముగించడానికి ఒక బటన్ను అందిస్తుంది. డేటా డంప్ ఫంక్షన్ క్యాప్చర్ చేయబడిన మొత్తం డేటాను C2 URLకి పంపుతుంది. స్క్రీన్ ఫంక్షన్ వినియోగదారు యొక్క డెస్క్టాప్ యొక్క స్క్రీన్షాట్ను చూపుతుంది మరియు కీ ప్రెస్ల వంటి ప్రాథమిక పరస్పర చర్యను అనుమతిస్తుంది. ముప్పు కూడా IP సమాచారాన్ని వెతకవచ్చు మరియు వేరే ఫంక్షన్ని ఉపయోగించి స్క్రీన్పై ప్రదర్శించవచ్చు. ఇది ఇచ్చిన వెబ్పేజీకి బ్రౌజర్ను తెరవగలదు మరియు ఆపరేటింగ్ సిస్టమ్ ద్వారా ఆదేశాలను అమలు చేయగలదు. క్రిప్టోకరెన్సీ వాలెట్ సమాచారాన్ని ఫాంటమ్/మెటామాస్క్ ఫంక్షన్ ద్వారా ఉల్లంఘించిన పరికరం నుండి సేకరించవచ్చు.
అయితే, కలర్-బ్లైండ్ RAT సోకిన సిస్టమ్లపై వెబ్ కెమెరా ద్వారా అనుమానించని వినియోగదారుపై గూఢచర్యం చేయడానికి /camera ఎండ్పాయింట్ని ఉపయోగించడం వంటి మరిన్ని చర్యలను చేయగలదు. బాధితుల మెషీన్లో సృష్టించబడిన దాచిన డెస్క్టాప్తో వ్యవహరించే 'hvnc'తో ప్రారంభమయ్యే వివిధ ముగింపు పాయింట్లు కూడా ఉన్నాయి. /hvncmanager ఫంక్షన్ ఈ దాచిన డెస్క్టాప్లో వెబ్ బ్రౌజర్ను ప్రారంభించడానికి అనుమతిస్తుంది. దాచిన డెస్క్టాప్ను తెరవడానికి /hvnc ఫంక్షన్ ఉపయోగించబడుతుంది మరియు ఇది ముప్పు నటులు దానితో పరస్పర చర్య చేయడానికి అనుమతిస్తుంది. అటువంటి దాచిన పద్ధతిలో వెబ్ బ్రౌజర్ను తెరవగల సామర్థ్యాన్ని బెదిరింపు నటులు బాధితుల ఇంటర్నెట్ ఖాతాలను యాక్సెస్ చేయడానికి లేదా పరస్పర చర్య చేయడానికి ఉపయోగించుకోవచ్చు. /hvncitem ఫంక్షన్ URL పరామితి 'ప్రారంభం' యొక్క మానిప్యులేషన్ ద్వారా దాచిన డెస్క్టాప్పై అనుకూల ఆదేశాలను అమలు చేయడానికి దాడి చేసేవారిని అనుమతిస్తుంది.