หนูตาบอดสี
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็คเกจ Python คุกคามที่อัปโหลดไปยัง Python Package Index (PyPI) ซึ่งมีตัวขโมยข้อมูลที่เป็นอันตรายและ Remote Access Trojan (RAT) แพคเกจนี้มีชื่อว่า 'colourfool' และระบุโดยทีมวิจัยด้านความปลอดภัย ซึ่งตั้งชื่อภัยคุกคามจากมัลแวร์ว่า 'Colour-Blind'
เหตุการณ์นี้เน้นให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของอาชญากรรมไซเบอร์ที่เป็นประชาธิปไตย ซึ่งผู้ไม่หวังดีสามารถเข้าถึงและนำโค้ดที่มีอยู่กลับมาใช้ใหม่ตามเจตนาของตนเองได้อย่างง่ายดาย นักวิจัยอธิบายว่าการทำให้อาชญากรรมออนไลน์เป็นประชาธิปไตยอาจนำไปสู่แนวภัยคุกคามที่รุนแรงขึ้น เนื่องจากผู้โจมตีสามารถสร้างมัลแวร์ได้หลายรูปแบบโดยใช้ประโยชน์จากโค้ดที่มาจากผู้อื่น
เช่นเดียวกับโมดูล Python อันธพาลล่าสุด Colour-Blind ใช้เทคนิคเพื่อปกปิดโค้ดที่ไม่ถูกต้องในสคริปต์การตั้งค่า จากนั้นสคริปต์การตั้งค่าจะชี้ไปที่เพย์โหลดไฟล์เก็บถาวร ZIP ซึ่งโฮสต์บนแพลตฟอร์ม Discord ที่ถูกต้องตามกฎหมาย ซึ่งช่วยให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับด้วยมาตรการรักษาความปลอดภัยแบบดั้งเดิม ทำให้ยากต่อการตรวจจับและลบออก
หนูตาบอดสีถือรหัสสำหรับเกม 'Snake'
มัลแวร์ใช้กลไกการคงอยู่ที่เกี่ยวข้องกับการเพิ่มสคริปต์ Visual Basic (VB) ชื่อ 'Essentials vbs' ไปยังโฟลเดอร์ 'Start Up' ใน 'Start Menu' ของผู้ใช้ เมื่อเข้าสู่ระบบ สคริปต์ VB จะเรียกใช้งานไฟล์แบทช์ของ Windows ที่มัลแวร์ฉีดเข้าไปในโฟลเดอร์เดียวกับ 'python.exe' ไฟล์แบทช์นี้เริ่มต้นมัลแวร์โดยใช้ Python ทุกครั้งที่ผู้ใช้เข้าสู่ระบบ เพื่อให้มั่นใจว่ามัลแวร์ยังคงทำงานอยู่และแสดงอยู่ในระบบ
มัลแวร์มีฟังก์ชันการกรองไฟล์ที่ใช้ประโยชน์จาก 'transfer[.]sh' ซึ่งเป็นเว็บไซต์ถ่ายโอนไฟล์ที่ไม่ระบุตัวตนซึ่งเป็นที่นิยมมากขึ้นในหมู่ผู้คุกคาม มัลแวร์ยังมีรหัสที่เกี่ยวข้องกับวิศวกรรมสังคม ซึ่งสร้างข้อความแสดงข้อผิดพลาดที่พยายามโน้มน้าวให้ผู้ใช้เรียกใช้มัลแวร์อีกครั้งในฐานะผู้ดูแลระบบ นอกจากนี้ มัลแวร์ยังมีเกม 'Snake' เวอร์ชันฝังตัวซึ่งดูเหมือนว่าเป็นการคัดลอกโค้ดโดยตรงจากที่เก็บ GitHub อย่างไรก็ตาม เกมนี้ไม่ตอบสนองวัตถุประสงค์ใด ๆ และจะไม่เริ่มเมื่อดำเนินการ
มัลแวร์กระตุ้นกระบวนการย่อยหลายกระบวนการ ซึ่งรวมถึงเธรดสำหรับรวบรวมคุกกี้ รหัสผ่าน และกระเป๋าเงินคริปโตเคอเรนซี เพื่อเปิดใช้งานการควบคุมระยะไกล มัลแวร์จะเริ่มเว็บแอปพลิเคชัน Flask จากนั้นภัยคุกคามจะทำให้แอปพลิเคชันเข้าถึงอินเทอร์เน็ตได้ผ่านยูทิลิตีอุโมงค์ย้อนกลับของ Cloudflare ที่ชื่อว่า 'cloudflare' เมื่อใช้วิธีนี้ มัลแวร์สามารถข้ามกฎไฟร์วอลล์ขาเข้าและรักษาสถานะถาวรในระบบที่ถูกบุกรุก
ชุดความสามารถในการคุกคามที่กว้างขวางที่พบใน RAT ที่ตาบอดสี
Colour-BLind RAT และการทำงานที่เป็นอันตรายต่างๆ สามารถควบคุมได้ผ่านทางเว็บแอปพลิเคชัน ฟังก์ชันโทเค็นสามารถดัมพ์โทเค็นการเข้าสู่ระบบสำหรับแอปพลิเคชันต่างๆ ที่ใช้โครเมียมผ่าน electron.io หรือโครเมียมโดยตรงเป็นเฟรมเวิร์กแอปพลิเคชัน ซึ่งรวมถึง Discord ฟังก์ชันรหัสผ่านจะทิ้งรหัสผ่านที่ดึงมาจากเว็บเบราว์เซอร์ไปที่หน้าจอ ในขณะที่ฟังก์ชันคุกกี้จะทิ้งคุกกี้ของเบราว์เซอร์ทั้งหมดไปที่หน้าจอ ฟังก์ชันคีย์จะถ่ายโอนข้อมูลที่บันทึกไว้ไปยังคีย์ล็อกเกอร์และแสดงบนหน้าจอ
ในบรรดาความสามารถต่างๆ ของ RAT นั้นยังมีฟังก์ชันแอปพลิเคชันซึ่งแสดงรายการแอปพลิเคชันที่ใช้งานอยู่ในปัจจุบันและปุ่มเพื่อยุติการใช้งาน ฟังก์ชันการถ่ายโอนข้อมูลส่งข้อมูลที่บันทึกทั้งหมดไปยัง C2 URL ฟังก์ชันหน้าจอแสดงภาพหน้าจอของเดสก์ท็อปของผู้ใช้และอนุญาตให้มีการโต้ตอบเบื้องต้น เช่น การกดปุ่ม ภัยคุกคามยังสามารถค้นหาข้อมูล IP และแสดงบนหน้าจอโดยใช้ฟังก์ชันอื่น สามารถเปิดเบราว์เซอร์ไปยังหน้าเว็บที่กำหนดและเรียกใช้คำสั่งผ่านระบบปฏิบัติการ ข้อมูลกระเป๋าสตางค์ Cryptocurrency สามารถเก็บเกี่ยวได้จากอุปกรณ์ที่ถูกละเมิดผ่านฟังก์ชัน phantom/Metamask
อย่างไรก็ตาม Colour-Blind RAT สามารถดำเนินการกับระบบที่ติดไวรัสได้มากขึ้น เช่น การใช้จุดสิ้นสุด /camera เพื่อสอดแนมผู้ใช้ที่ไม่สงสัยผ่านกล้องเว็บ นอกจากนี้ยังมีจุดสิ้นสุดต่างๆ ที่ขึ้นต้นด้วย 'hvnc' ซึ่งจะจัดการกับเดสก์ท็อปที่ซ่อนอยู่ซึ่งสร้างขึ้นในเครื่องของเหยื่อ ฟังก์ชัน /hvncmanager อนุญาตให้เริ่มต้นเว็บเบราว์เซอร์บนเดสก์ท็อปที่ซ่อนอยู่นี้ ฟังก์ชัน /hvnc ใช้เพื่อเปิดเดสก์ท็อปที่ซ่อนอยู่ และช่วยให้ผู้คุกคามโต้ตอบกับเดสก์ท็อปได้ ความสามารถในการเปิดเว็บเบราว์เซอร์ในลักษณะที่ซ่อนอยู่สามารถถูกโจมตีโดยผู้คุกคามเพื่อเข้าถึงหรือโต้ตอบกับบัญชีอินเทอร์เน็ตของเหยื่อ ฟังก์ชัน /hvncitem ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่กำหนดเองบนเดสก์ท็อปที่ซ่อนอยู่ผ่านการจัดการพารามิเตอร์ URL 'start'
