కలర్-బ్లైండ్ RAT

సైబర్‌ సెక్యూరిటీ పరిశోధకులు పైథాన్ ప్యాకేజీ ఇండెక్స్ (PyPI)కి అప్‌లోడ్ చేయబడిన ఒక ప్రమాదకరమైన పైథాన్ ప్యాకేజీని కనుగొన్నారు, ఇందులో హానికరమైన సమాచార దొంగిలించేవాడు మరియు రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) ఉన్నాయి. ఈ ప్యాకేజీకి 'కలర్‌ఫూల్' అని పేరు పెట్టారు మరియు భద్రతా పరిశోధన బృందం గుర్తించింది, మాల్వేర్ ముప్పు దానికే 'కలర్-బ్లైండ్' అని పేరు పెట్టింది.

ఈ సంఘటన డెమోక్రటైజ్డ్ సైబర్ క్రైమ్ యొక్క పెరుగుతున్న ట్రెండ్‌ను హైలైట్ చేస్తుంది, ఇక్కడ చెడు మనస్సు గల నటీనటులు తమ స్వంత ఉద్దేశాల కోసం ఇప్పటికే ఉన్న కోడ్‌ను సులభంగా యాక్సెస్ చేయవచ్చు మరియు తిరిగి ఉపయోగించుకోవచ్చు. ఆన్‌లైన్ నేరం యొక్క ప్రజాస్వామ్యీకరణ తీవ్ర ముప్పు ప్రకృతి దృశ్యానికి దారితీస్తుందని పరిశోధకులు వివరించారు, ఎందుకంటే దాడి చేసేవారు ఇతరుల నుండి సేకరించిన కోడ్‌ను ప్రభావితం చేయడం ద్వారా వారి మాల్వేర్ యొక్క బహుళ వైవిధ్యాలను సృష్టించవచ్చు.

ఇతర ఇటీవలి రోగ్ పైథాన్ మాడ్యూల్స్ వలె, కలర్-బ్లైండ్ సెటప్ స్క్రిప్ట్‌లో దాని చెడు కోడ్‌ను దాచడానికి ఒక సాంకేతికతను ఉపయోగిస్తుంది. సెటప్ స్క్రిప్ట్ అప్పుడు చట్టబద్ధమైన డిస్కార్డ్ ప్లాట్‌ఫారమ్‌లో హోస్ట్ చేయబడిన జిప్ ఆర్కైవ్ పేలోడ్‌ను సూచిస్తుంది. ఇది కొన్ని సాంప్రదాయ భద్రతా చర్యల ద్వారా మాల్వేర్‌ను గుర్తించకుండా తప్పించుకోవడానికి అనుమతిస్తుంది, దీని వలన గుర్తించడం మరియు తీసివేయడం మరింత కష్టమవుతుంది.

కలర్-బ్లైండ్ RAT 'స్నేక్' గేమ్ కోసం కోడ్‌ను కలిగి ఉంటుంది

మాల్వేర్ 'ఎసెన్షియల్స్' పేరుతో విజువల్ బేసిక్ (VB) స్క్రిప్ట్‌ను జోడించే ఒక పెర్సిస్టెన్స్ మెకానిజంను ఉపయోగిస్తుంది. యూజర్ యొక్క 'స్టార్ట్ మెనూ'లోని 'స్టార్ట్ అప్' ఫోల్డర్‌కు vbs'. లాగిన్ అయిన తర్వాత, VB స్క్రిప్ట్ విండోస్ బ్యాచ్ ఫైల్‌ను అమలు చేస్తుంది, మాల్వేర్ 'python.exe' వలె అదే ఫోల్డర్‌లో ఇంజెక్ట్ చేస్తుంది. ఈ బ్యాచ్ ఫైల్ వినియోగదారు లాగిన్ అయిన ప్రతిసారీ పైథాన్‌ని ఉపయోగించి మాల్వేర్‌ను ప్రారంభిస్తుంది, మాల్వేర్ సిస్టమ్‌లో యాక్టివ్‌గా మరియు ఉనికిలో ఉందని నిర్ధారిస్తుంది.

మాల్వేర్ ఫైల్ ఎక్స్‌ఫిల్ట్రేషన్ ఫంక్షన్‌ను కలిగి ఉంది, ఇది 'ట్రాన్స్‌ఫర్[.]sh'ని ప్రభావితం చేస్తుంది, ఇది అనామక ఫైల్ బదిలీ వెబ్‌సైట్, ఇది ముప్పు నటుల మధ్య బాగా ప్రాచుర్యం పొందింది. మాల్వేర్ సోషల్ ఇంజినీరింగ్‌కు సంబంధించిన కోడ్‌ను కూడా కలిగి ఉంది, ఇది ఒక దోష సందేశాన్ని ఉత్పత్తి చేస్తుంది, ఇది మాల్వేర్‌ను నిర్వాహకుడిగా మళ్లీ అమలు చేయడానికి వినియోగదారుని ఒప్పించడానికి ప్రయత్నిస్తుంది. అదనంగా, మాల్వేర్ 'స్నేక్' గేమ్ యొక్క ఎంబెడెడ్ వెర్షన్‌ను కలిగి ఉంది, ఇది GitHub రిపోజిటరీ నుండి కోడ్ యొక్క ప్రత్యక్ష కాపీలా కనిపిస్తుంది. అయితే, ఈ గేమ్ ఎటువంటి స్పష్టమైన ప్రయోజనాన్ని అందించదు మరియు అమలు చేయబడినప్పుడు ప్రారంభించబడదు.

కుక్కీలు, పాస్‌వర్డ్‌లు మరియు క్రిప్టోకరెన్సీ వాలెట్‌లను సేకరించేందుకు థ్రెడ్‌లను కలిగి ఉండే బహుళ ఉపప్రాసెసెస్‌లను మాల్వేర్ ట్రిగ్గర్ చేస్తుంది. రిమోట్ కంట్రోల్‌ని ప్రారంభించడానికి, మాల్వేర్ Flask వెబ్ అప్లికేషన్‌ను ప్రారంభిస్తుంది. ముప్పు 'క్లౌడ్‌ఫ్లేర్డ్' పేరుతో క్లౌడ్‌ఫ్లేర్ యొక్క రివర్స్ టన్నెల్ యుటిలిటీ ద్వారా అప్లికేషన్‌ను ఇంటర్నెట్‌కు యాక్సెస్ చేయగలదు. ఈ పద్ధతిని ఉపయోగించడం ద్వారా, మాల్వేర్ ఏదైనా ఇన్‌బౌండ్ ఫైర్‌వాల్ నియమాలను దాటవేయగలదు మరియు రాజీపడిన సిస్టమ్‌లో స్థిరమైన ఉనికిని కలిగి ఉంటుంది.

కలర్-బ్లైండ్ RATలో కనుగొనబడిన బెదిరింపు సామర్థ్యాల యొక్క విస్తారమైన సెట్

కలర్-బ్లైండ్ RAT మరియు దాని వివిధ హానికరమైన కార్యాచరణలను వెబ్ అప్లికేషన్ ద్వారా నియంత్రించవచ్చు. ఎలెక్ట్రాన్.io లేదా క్రోమియం ద్వారా క్రోమియంను నేరుగా అప్లికేషన్ ఫ్రేమ్‌వర్క్‌గా ఉపయోగించే అనేక అప్లికేషన్‌ల కోసం టోకెన్‌ల ఫంక్షన్ లాగిన్ టోకెన్‌లను డంప్ చేయగలదు, ఇందులో డిస్కార్డ్ కూడా ఉంటుంది. పాస్‌వర్డ్‌ల ఫంక్షన్ వెబ్ బ్రౌజర్‌ల నుండి సంగ్రహించిన పాస్‌వర్డ్‌లను స్క్రీన్‌కు డంప్ చేస్తుంది, అయితే కుక్కీల ఫంక్షన్ అన్ని బ్రౌజర్ కుక్కీలను స్క్రీన్‌కు డంప్ చేస్తుంది. కీల ఫంక్షన్ క్యాప్చర్ చేయబడిన డేటాను కీ లాగర్‌లకు డంప్ చేస్తుంది మరియు దానిని స్క్రీన్‌పై చూపుతుంది.

RAT యొక్క సామర్థ్యాలలో అప్లికేషన్స్ ఫంక్షన్ కూడా ఉంది, ఇది ప్రస్తుతం యాక్టివ్‌గా ఉన్న అప్లికేషన్‌ల జాబితాను మరియు వాటిని ముగించడానికి ఒక బటన్‌ను అందిస్తుంది. డేటా డంప్ ఫంక్షన్ క్యాప్చర్ చేయబడిన మొత్తం డేటాను C2 URLకి పంపుతుంది. స్క్రీన్ ఫంక్షన్ వినియోగదారు యొక్క డెస్క్‌టాప్ యొక్క స్క్రీన్‌షాట్‌ను చూపుతుంది మరియు కీ ప్రెస్‌ల వంటి ప్రాథమిక పరస్పర చర్యను అనుమతిస్తుంది. ముప్పు కూడా IP సమాచారాన్ని వెతకవచ్చు మరియు వేరే ఫంక్షన్‌ని ఉపయోగించి స్క్రీన్‌పై ప్రదర్శించవచ్చు. ఇది ఇచ్చిన వెబ్‌పేజీకి బ్రౌజర్‌ను తెరవగలదు మరియు ఆపరేటింగ్ సిస్టమ్ ద్వారా ఆదేశాలను అమలు చేయగలదు. క్రిప్టోకరెన్సీ వాలెట్ సమాచారాన్ని ఫాంటమ్/మెటామాస్క్ ఫంక్షన్ ద్వారా ఉల్లంఘించిన పరికరం నుండి సేకరించవచ్చు.

అయితే, కలర్-బ్లైండ్ RAT సోకిన సిస్టమ్‌లపై వెబ్ కెమెరా ద్వారా అనుమానించని వినియోగదారుపై గూఢచర్యం చేయడానికి /camera ఎండ్‌పాయింట్‌ని ఉపయోగించడం వంటి మరిన్ని చర్యలను చేయగలదు. బాధితుల మెషీన్‌లో సృష్టించబడిన దాచిన డెస్క్‌టాప్‌తో వ్యవహరించే 'hvnc'తో ప్రారంభమయ్యే వివిధ ముగింపు పాయింట్‌లు కూడా ఉన్నాయి. /hvncmanager ఫంక్షన్ ఈ దాచిన డెస్క్‌టాప్‌లో వెబ్ బ్రౌజర్‌ను ప్రారంభించడానికి అనుమతిస్తుంది. దాచిన డెస్క్‌టాప్‌ను తెరవడానికి /hvnc ఫంక్షన్ ఉపయోగించబడుతుంది మరియు ఇది ముప్పు నటులు దానితో పరస్పర చర్య చేయడానికి అనుమతిస్తుంది. అటువంటి దాచిన పద్ధతిలో వెబ్ బ్రౌజర్‌ను తెరవగల సామర్థ్యాన్ని బెదిరింపు నటులు బాధితుల ఇంటర్నెట్ ఖాతాలను యాక్సెస్ చేయడానికి లేదా పరస్పర చర్య చేయడానికి ఉపయోగించుకోవచ్చు. /hvncitem ఫంక్షన్ URL పరామితి 'ప్రారంభం' యొక్క మానిప్యులేషన్ ద్వారా దాచిన డెస్క్‌టాప్‌పై అనుకూల ఆదేశాలను అమలు చేయడానికి దాడి చేసేవారిని అనుమతిస్తుంది.