Дальтонік ЩУР

Дослідники з кібербезпеки виявили загрозливий пакет Python, завантажений в індекс пакетів Python (PyPI), який містить шкідливий викрадач інформації та троян віддаленого доступу (RAT). Пакет отримав назву «colourfool» і був ідентифікований дослідницькою групою безпеки, яка назвала саму загрозу зловмисного програмного забезпечення «Colour-Blind».

Цей інцидент підкреслює зростаючу тенденцію демократизації кіберзлочинності, коли недоброзичливці можуть легко отримати доступ до існуючого коду та змінити його призначення для власних цілей. Дослідники пояснили, що демократизація онлайн-злочинності може призвести до посилення ландшафту загроз, оскільки зловмисники можуть створювати кілька варіантів свого шкідливого програмного забезпечення, використовуючи код, отриманий від інших.

Як і інші недавні фальшиві модулі Python, Colour-Blind використовує техніку для приховування свого поганого коду в сценарії встановлення. Потім сценарій налаштування вказує на корисне навантаження архіву ZIP, розміщеного на законній платформі Discord. Це дозволяє зловмисному програмному забезпеченню уникати виявлення за допомогою деяких традиційних заходів безпеки, що ускладнює його виявлення та видалення.

ЩУР-дальтонік несе код для гри «Змія».

Зловмисне програмне забезпечення використовує механізм збереження, який передбачає додавання сценарію Visual Basic (VB) під назвою «Essentials. vbs" до папки "Запуск" у меню "Пуск" користувача. Після входу сценарій VB виконує пакетний файл Windows, який зловмисне програмне забезпечення впроваджує в ту саму папку, що й «python.exe». Цей пакетний файл запускає зловмисне програмне забезпечення за допомогою Python кожного разу, коли користувач входить до системи, гарантуючи, що зловмисне програмне забезпечення залишається активним і присутнім у системі.

Зловмисне програмне забезпечення має функцію викрадання файлів, яка використовує «transfer[.]sh», анонімний веб-сайт для передачі файлів, який стає все більш популярним серед загроз. Зловмисне програмне забезпечення також містить код, пов’язаний із соціальною інженерією, який створює повідомлення про помилку, яке намагається переконати користувача повторно запустити шкідливе програмне забезпечення від імені адміністратора. Крім того, зловмисне програмне забезпечення містить вбудовану версію гри «Змія», яка, здається, є прямою копією коду зі сховища GitHub. Однак ця гра не має жодної очевидної мети та не запускається під час виконання.

Зловмисне програмне забезпечення запускає кілька підпроцесів, які включають потоки для збору файлів cookie, паролів і гаманців криптовалюти. Щоб увімкнути дистанційне керування, зловмисне програмне забезпечення запускає веб-додаток Flask. Потім загроза робить програму доступною в Інтернеті через утиліту зворотного тунелю Cloudflare під назвою «cloudflared». Використовуючи цей метод, зловмисне програмне забезпечення може обійти будь-які вхідні правила брандмауера та підтримувати постійну присутність у скомпрометованій системі.

Широкий набір загрозливих можливостей, знайдених у дальтоніку RAT

Пристроєм Colour-Blind RAT і його різними шкідливими функціями можна керувати через веб-додаток. Функція маркерів може скидати маркери входу для кількох програм, які використовують chromium через electron.io або chromium безпосередньо як структуру програми, яка включає Discord. Функція паролів виводить витягнуті паролі з веб-браузерів на екран, тоді як функція cookies виводить на екран усі файли cookie браузера. Функція клавіш скидає отримані дані в кейлогери та показує їх на екрані.

Серед можливостей RAT також є функція програм, яка надає список активних на даний момент програм і кнопку для їх завершення. Функція дампу даних надсилає всі отримані дані на URL-адресу C2. Функція екрана показує знімок екрана робочого столу користувача та дозволяє елементарну взаємодію, наприклад натискання клавіш. Загроза також може шукати IP-інформацію та відображати її на екрані за допомогою іншої функції. Він може відкривати певну веб-сторінку в браузері та запускати команди через операційну систему. Інформацію про гаманець криптовалюти можна отримати зі зламаного пристрою за допомогою функції фантома/метамаски.

Однак дальтоник RAT може виконувати ще більше дій на заражених системах, наприклад використовувати кінцеву точку /camera для спостереження за нічого не підозрюючим користувачем за допомогою веб-камери. Існують також різні кінцеві точки, що починаються з «hvnc», які працюють із прихованою робочою поверхнею, створеною на машині жертви. Функція /hvncmanager дозволяє запустити веб-браузер на цьому прихованому робочому столі. Функція /hvnc використовується для відкриття прихованого робочого столу та дозволяє зловмисникам взаємодіяти з ним. Можливість відкривати веб-браузер таким прихованим способом може бути використана зловмисниками для доступу або взаємодії з обліковими записами жертви в Інтернеті. Функція /hvncitem дозволяє зловмисникам виконувати спеціальні команди на прихованому робочому столі за допомогою маніпулювання параметром URL-адреси «start».