Giảm giá nhiều giấy phép
Threat Database Remote Administration Tools PY#RATION RAT

PY#RATION RAT

Đến năm Mezo năm Remote Administration Tools
Dịch sang:
Tiếng Việt Nam

Một chiến dịch tấn công mới đã bị bắt quả tang. Hoạt động đe dọa sử dụng một phần mềm độc hại dựa trên Python mới có tên là PY#RATION RAT. Như trường hợp điển hình của các Trojan Truy cập Từ xa (RAT) này, PY#RATION có một tập hợp toàn diện các khả năng có hại, bao gồm lọc dữ liệu và ghi nhật ký bàn phím. Điều làm cho mối đe dọa này trở nên đặc biệt độc đáo là việc sử dụng WebSockets cho cả giao tiếp và trích xuất Command-and-Control (C2, C&C), cũng như khả năng tránh bị phát hiện từ các giải pháp chống phần mềm độc hại và các biện pháp an ninh mạng.

Các chi tiết về PY#RATION RAT đã được tiết lộ trong một báo cáo của các nhà nghiên cứu an ninh mạng. Theo phát hiện của họ, tội phạm mạng đứng sau mối đe dọa này chủ yếu tập trung vào các mục tiêu ở Vương quốc Anh hoặc Bắc Mỹ, dựa trên các mồi nhử lừa đảo được sử dụng như một phần của cuộc tấn công.

Chuỗi tấn công của PY#RATION

Cuộc tấn công bắt đầu bằng một email lừa đảo có chứa tệp lưu trữ ZIP. Bên trong kho lưu trữ là hai tệp lối tắt (.LNK), đóng vai trò là hình ảnh mặt trước và mặt sau của bằng lái xe được cho là chính hãng của Vương quốc Anh. Khi mở từng tệp .LNK này, hai tệp văn bản được truy xuất từ máy chủ từ xa và sau đó được lưu dưới dạng tệp .BAT.

Trong khi nạn nhân được hiển thị hình ảnh mồi nhử, các tệp có hại được thực thi âm thầm trong nền của hệ thống. Ngoài ra, một tập lệnh bó khác được tải xuống từ máy chủ C2 để nhận các tải trọng khác, bao gồm một tệp nhị phân Python có tên 'CortanaAssistance.exe.' Việc sử dụng Cortana, trợ lý ảo của Microsoft, ngụ ý rằng những kẻ tấn công có thể đã cố ngụy trang mã bị hỏng của chúng thành một tệp hệ thống hợp pháp.

Khả năng gây hại của PY#RATION RAT

Hai phiên bản Trojan PY#RATION đã được phát hiện (phiên bản 1.0 và 1.6). Phiên bản mới hơn bao gồm gần 1.000 dòng mã bổ sung, bổ sung các tính năng quét mạng để kiểm tra các mạng bị xâm phạm và một lớp mã hóa trên mã Python bằng mô-đun fernet. Ngoài ra, mối đe dọa có thể chuyển các tệp từ máy chủ bị vi phạm sang máy chủ C2 của nó và ngược lại.

RAT có thể bắt đầu ghi lại các lần gõ phím, thực thi các lệnh hệ thống, trích xuất mật khẩu và cookie từ trình duyệt Web, thu thập dữ liệu khay nhớ tạm và phát hiện sự hiện diện của phần mềm bảo mật. Các tác nhân đe dọa có thể sử dụng PY#RATION làm cổng để triển khai tải trọng của các mối đe dọa khác, chẳng hạn như một trình đánh cắp thông tin dựa trên Python khác được tạo rõ ràng để thu thập dữ liệu từ trình duyệt Web và ví tiền điện tử.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...