PY#РАЦІЙНИЙ ЩУР

Нова кампанія нападу була спіймана в дикій природі. У загрозливій операції використовується нове шкідливе програмне забезпечення на основі Python під назвою PY#RATION RAT. Як це зазвичай буває з цими троянами віддаленого доступу (RAT), PY#RATION має повний набір шкідливих можливостей, включаючи викрадання даних і клавіатурний журнал. Що робить цю загрозу особливо унікальною, так це її використання WebSockets як для зв’язку командно-контрольних (C2, C&C) і викрадання, так і її здатність уникати виявлення рішень для захисту від зловмисного програмного забезпечення та заходів безпеки мережі.

Подробиці про PY#RATION RAT були розкриті у звіті дослідників кібербезпеки. Згідно з їхніми висновками, кіберзлочинці, які стоять за загрозою, зосереджені здебільшого на цілях у Великій Британії чи Північній Америці, судячи з фішингових приманок, які використовувалися як частина атаки.

Ланцюг атак PY#RATION

Атака починається з оманливого фішингового електронного листа, що містить ZIP-архів. Всередині архіву є два файли ярликів (.LNK), що представляють собою переднє та заднє зображення нібито справжніх водійських прав Великобританії. Після відкриття кожного з цих файлів .LNK два текстові файли витягуються з віддаленого сервера, а потім зберігаються як файли .BAT.

Поки жертві показуються образи-приманки, шкідливі файли безшумно запускаються у фоновому режимі системи. Крім того, із сервера C2 завантажується інший пакетний сценарій, який отримує інші корисні дані, зокрема двійковий файл Python під назвою «CortanaAssistance.exe». Використання Cortana, віртуального помічника Microsoft, передбачає, що зловмисники, можливо, намагалися замаскувати свій пошкоджений код під законний системний файл.

Шкідливі можливості PY#RATION RAT

Виявлено дві версії трояна PY#RATION (версії 1.0 і 1.6). Нова версія включає майже 1000 рядків додаткового коду, який додає функції сканування мережі для перевірки скомпрометованих мереж і рівень шифрування над кодом Python за допомогою модуля fernet. Крім того, загроза може передавати файли зі зламаного хоста на його сервер C2 і навпаки.

RAT може почати записувати натискання клавіш, виконувати системні команди, отримувати паролі та файли cookie з веб-браузерів, отримувати дані буфера обміну та виявляти наявність програмного забезпечення безпеки. Зловмисники можуть використовувати PY#RATION як шлюз для розгортання корисного навантаження інших загроз, таких як інший викрадач інформації на основі Python, спеціально створений для збору даних із веб-браузерів і гаманців криптовалюти.