Renk Körü RAT

Siber güvenlik araştırmacıları, zararlı bir bilgi hırsızı ve Uzaktan Erişim Truva Atı (RAT) içeren, Python Paket Dizinine (PyPI) yüklenen tehditkar bir Python paketini ortaya çıkardı. Pakete 'colorfool' adı verildi ve kötü amaçlı yazılım tehdidinin kendisine 'Renk Körü' adını veren bir güvenlik araştırma ekibi tarafından tanımlandı.

Bu olay, kötü niyetli aktörlerin mevcut koda kolayca erişebildiği ve kendi amaçları doğrultusunda yeniden kullanabildiği, büyüyen demokratik siber suç eğilimini vurgulamaktadır. Araştırmacılar, çevrimiçi suçun demokratikleşmesinin, saldırganların başkalarından alınan kodlardan yararlanarak kötü amaçlı yazılımlarının birden çok çeşidini oluşturabilmeleri nedeniyle, yoğun bir tehdit ortamına yol açabileceğini açıkladı.

Diğer yeni haydut Python modülleri gibi, Renk Körlüğü de kurulum betiğindeki hatalı kodunu gizlemek için bir teknik kullanır. Kurulum betiği daha sonra meşru Discord platformunda barındırılan bir ZIP arşivi yüküne işaret eder. Bu, kötü amaçlı yazılımın bazı geleneksel güvenlik önlemleri tarafından tespit edilmekten kaçmasına olanak tanıyarak tespit edilmesini ve kaldırılmasını zorlaştırır.

Renk Körü RAT, 'Yılan' Oyununun Kodunu Taşıyor

Kötü amaçlı yazılım, "Essentials" adlı bir Visual Basic (VB) komut dosyası eklemeyi içeren bir kalıcılık mekanizması kullanır. vbs'yi kullanıcının 'Başlat Menüsü'ndeki 'Başlat' klasörüne kopyalayın. Oturum açıldıktan sonra, VB betiği, kötü amaçlı yazılımın 'python.exe' ile aynı klasöre yerleştirdiği bir Windows toplu iş dosyasını yürütür. Bu toplu iş dosyası, kullanıcı her oturum açtığında Python'u kullanarak kötü amaçlı yazılımı başlatır ve kötü amaçlı yazılımın sistemde etkin ve mevcut kalmasını sağlar.

Kötü amaçlı yazılım, tehdit aktörleri arasında giderek daha popüler hale gelen anonim bir dosya aktarım web sitesi olan 'transfer[.]sh'den yararlanan bir dosya hırsızlığı işlevine sahiptir. Kötü amaçlı yazılım ayrıca, kullanıcıyı kötü amaçlı yazılımı yönetici olarak yeniden çalıştırmaya ikna etmeye çalışan bir hata mesajı oluşturan sosyal mühendislikle ilgili kod içerir. Ek olarak, kötü amaçlı yazılım, bir GitHub deposundaki kodun doğrudan bir kopyası gibi görünen 'Snake' oyununun gömülü bir sürümünü içerir. Ancak bu oyun görünürde herhangi bir amaca hizmet etmiyor ve çalıştırıldığında başlamıyor.

Kötü amaçlı yazılım, çerezleri, parolaları ve kripto para cüzdanlarını toplamak için ileti dizileri içeren birden çok alt işlemi tetikler. Kötü amaçlı yazılım, uzaktan denetimi etkinleştirmek için bir Flask web uygulaması başlatır. Ardından tehdit, uygulamayı Cloudflare'nin 'cloudflared' adlı ters tünel yardımcı programı aracılığıyla internete erişilebilir hale getirir. Kötü amaçlı yazılım, bu yöntemi kullanarak gelen tüm güvenlik duvarı kurallarını atlayabilir ve güvenliği ihlal edilmiş sistemde kalıcı bir varlık sürdürebilir.

Renk Körü RAT'ta Bulunan Kapsamlı Tehdit Yetenekleri Seti

Renk Körü RAT ve çeşitli zararlı işlevleri, Web uygulaması aracılığıyla kontrol edilebilir. Belirteçler işlevi, elektron.io aracılığıyla krom kullanan veya Discord'u da içeren bir uygulama çerçevesi olarak doğrudan krom kullanan çeşitli uygulamalar için oturum açma belirteçlerini boşaltabilir. Parolalar işlevi, web tarayıcılarından çıkarılan parolaları ekrana dökerken, tanımlama bilgileri işlevi tüm tarayıcı tanımlama bilgilerini ekrana döker. Tuşlar işlevi, yakalanan verileri tuş kaydedicilere aktarır ve ekranda gösterir.

RAT'ın yetenekleri arasında, o anda etkin olan uygulamaların bir listesini ve bunları sonlandırmak için bir düğme sağlayan uygulamalar işlevi de vardır. Veri dökümü işlevi, yakalanan tüm verileri C2 URL'sine gönderir. Ekran işlevi, kullanıcının masaüstünün ekran görüntüsünü gösterir ve tuşlara basma gibi basit etkileşimlere izin verir. Tehdit ayrıca IP bilgilerini arayabilir ve farklı bir işlev kullanarak ekranda görüntüleyebilir. Belirli bir web sayfasına bir tarayıcı açabilir ve işletim sistemi aracılığıyla komutları çalıştırabilir. Cryptocurrency cüzdan bilgileri, ihlal edilen cihazdan fantom/Metamask işlevi aracılığıyla toplanabilir.

Bununla birlikte, Renk Körlüğü RAT, virüslü sistemlerde, bir web kamerası aracılığıyla şüphelenmeyen bir kullanıcıyı gözetlemek için /camera uç noktasını kullanmak gibi daha da fazla eylem gerçekleştirebilir. Ayrıca, kurbanın makinesinde oluşturulan gizli bir masaüstüyle ilgilenen 'hvnc' ile başlayan çeşitli uç noktalar da vardır. /hvncmanager işlevi, bu gizli masaüstünde bir Web tarayıcısının başlatılmasına izin verir. /hvnc işlevi, gizli masaüstünü açmak için kullanılır ve tehdit aktörlerinin onunla etkileşime geçmesini sağlar. Bir web tarayıcısını bu kadar gizli bir şekilde açma yeteneği, tehdit aktörleri tarafından kurbanın internet hesaplarına erişmek veya bunlarla etkileşim kurmak için kullanılabilir. /hvncitem işlevi, saldırganların 'start' URL parametresini değiştirerek gizli masaüstünde özel komutlar yürütmesine olanak tanır.