DAGA na Bulag-kulay

Natuklasan ng mga mananaliksik sa cybersecurity ang isang nagbabantang Python package na na-upload sa Python Package Index (PyPI), na naglalaman ng isang nakakapinsalang pagnanakaw ng impormasyon at Remote Access Trojan (RAT). Ang package ay pinangalanang 'colourfool' at kinilala ng isang security research team, na pinangalanang 'Colour-Blind' mismo ang banta ng malware.

Itinatampok ng insidenteng ito ang lumalagong kalakaran ng democratized cybercrime, kung saan madaling ma-access at magagamit muli ng mga walang kabuluhang aktor ang umiiral na code para sa kanilang sariling mga intensyon. Ipinaliwanag ng mga mananaliksik na ang demokratisasyon ng online na krimen ay maaaring humantong sa isang pinatindi na tanawin ng pagbabanta, dahil ang mga umaatake ay maaaring lumikha ng maraming variant ng kanilang malware sa pamamagitan ng paggamit ng code na galing sa iba.

Tulad ng iba pang kamakailang rogue Python module, ang Colour-Blind ay gumagamit ng isang pamamaraan upang itago ang masamang code nito sa script ng pag-setup. Ang script ng pag-setup ay tumuturo sa isang ZIP archive payload na naka-host sa lehitimong Discord platform. Nagbibigay-daan ito sa malware na makaiwas sa pagtuklas ng ilang tradisyunal na hakbang sa seguridad, na ginagawang mas mahirap na matukoy at alisin.

Dala ng Colour-Blind RAT ang Code para sa Larong 'Ahas'

Gumagamit ang malware ng mekanismo ng pagtitiyaga na nagsasangkot ng pagdaragdag ng Visual Basic (VB) script na pinangalanang 'Essentials. vbs' sa folder na 'Start Up' sa 'Start Menu' ng user. Sa pag-login, ang VB script ay nagpapatupad ng isang Windows batch file na ini-inject ng malware sa parehong folder bilang 'python.exe.' Sinisimulan ng batch file na ito ang malware gamit ang Python sa tuwing magla-log in ang user, na tinitiyak na nananatiling aktibo at naroroon ang malware sa system.

Ang malware ay may file exfiltration function na gumagamit ng 'transfer[.]sh,' isang hindi kilalang file transfer website na lalong popular sa mga banta ng aktor. Naglalaman din ang malware ng code na nauugnay sa social engineering, na bumubuo ng mensahe ng error na sumusubok na hikayatin ang user na patakbuhin muli ang malware bilang isang administrator. Bukod pa rito, naglalaman ang malware ng naka-embed na bersyon ng larong 'Snake' na lumilitaw na direktang kopya ng code mula sa isang repositoryo ng GitHub. Gayunpaman, ang larong ito ay hindi nagsisilbi sa anumang maliwanag na layunin at hindi nagsisimula kapag naisakatuparan.

Ang malware ay nagti-trigger ng maraming subprocesses, na kinabibilangan ng mga thread para sa pagkolekta ng cookies, password, at cryptocurrency wallet. Upang paganahin ang remote control, magsisimula ang malware ng isang Flask web application. Ang pagbabanta ay ginagawang naa-access ang application sa internet sa pamamagitan ng reverse tunnel utility ng Cloudflare na pinangalanang 'cloudflared.' Sa pamamagitan ng paggamit sa paraang ito, maaaring lampasan ng malware ang anumang papasok na mga panuntunan ng firewall at mapanatili ang isang patuloy na presensya sa nakompromisong system.

Ang Malawak na Hanay ng Mga Kakayahang Pagbabanta na Natagpuan sa Color-Blind RAT

Ang Colour-BLind RAT at ang iba't ibang mapaminsalang functionality nito ay makokontrol sa pamamagitan ng Web application. Ang function ng mga token ay maaaring mag-dump ng mga token sa pag-log in para sa ilang mga application na gumagamit ng chromium sa pamamagitan ng electron.io o chromium nang direkta bilang isang framework ng application, na kinabibilangan ng Discord. Ang function ng mga password ay nagtatapon ng mga na-extract na password mula sa mga web browser patungo sa screen, habang ang function ng cookies ay nagtatapon ng lahat ng cookies ng browser sa screen. Ang function ng mga key ay nagtatapon ng mga nakuhang data sa mga key logger at ipinapakita ito sa screen.

Kabilang din sa mga kakayahan ng RAT ay ang application function, na nagbibigay ng listahan ng mga kasalukuyang aktibong application at isang pindutan upang wakasan ang mga ito. Ang data dump function ay nagpapadala ng lahat ng nakuhang data sa C2 URL. Ang screen function ay nagpapakita ng isang screenshot ng desktop ng user at nagbibigay-daan para sa paunang pakikipag-ugnayan, tulad ng mga pagpindot sa key. Ang banta ay maaari ring maghanap ng impormasyon ng IP at ipakita ito sa screen gamit ang ibang function. Maaari itong magbukas ng browser sa isang partikular na webpage at magpatakbo ng mga command sa pamamagitan ng operating system. Maaaring makuha ang impormasyon ng wallet ng Cryptocurrency mula sa nalabag na device sa pamamagitan ng phantom/Metamask function.

Gayunpaman, ang Colour-Blind RAT ay maaaring magsagawa ng higit pang mga aksyon sa mga nahawaang system, gaya ng paggamit sa /camera endpoint upang tiktikan ang isang hindi mapag-aalinlanganang user sa pamamagitan ng isang web camera. Mayroon ding iba't ibang mga endpoint na nagsisimula sa 'hvnc,' na tumatalakay sa isang nakatagong desktop na ginawa sa makina ng biktima. Ang /hvncmanager function ay nagbibigay-daan para sa pagsisimula ng isang Web browser sa nakatagong desktop na ito. Ang function na /hvnc ay ginagamit upang buksan ang nakatagong desktop at pinapayagan nito ang mga aktor ng pagbabanta na makipag-ugnayan dito. Ang kakayahang magbukas ng web browser sa ganoong nakatagong paraan ay maaaring samantalahin ng mga banta ng aktor upang ma-access o makipag-ugnayan sa mga internet account ng biktima. Ang /hvncitem function ay nagbibigay-daan sa mga umaatake na magsagawa ng mga custom na command sa nakatagong desktop sa pamamagitan ng pagmamanipula ng parameter ng URL na 'start.'