RAT mù màu

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói Python đe dọa được tải lên Chỉ mục gói Python (PyPI), chứa một kẻ đánh cắp thông tin có hại và Trojan truy cập từ xa (RAT). Gói này được đặt tên là 'colorfool' và được xác định bởi một nhóm nghiên cứu bảo mật, người đã đặt tên cho mối đe dọa phần mềm độc hại là 'Color-Blind'.

Sự cố này làm nổi bật xu hướng ngày càng tăng của tội phạm mạng dân chủ hóa, nơi những kẻ xấu có thể dễ dàng truy cập và sử dụng lại mã hiện có cho mục đích riêng của chúng. Các nhà nghiên cứu giải thích rằng việc dân chủ hóa tội phạm trực tuyến có thể dẫn đến bối cảnh mối đe dọa gia tăng, vì những kẻ tấn công có thể tạo ra nhiều biến thể phần mềm độc hại của chúng bằng cách tận dụng mã có nguồn gốc từ những người khác.

Giống như các mô-đun Python giả mạo khác gần đây, Colour-Blind sử dụng một kỹ thuật để che giấu mã xấu của nó trong tập lệnh thiết lập. Sau đó, tập lệnh thiết lập trỏ đến tải trọng lưu trữ ZIP được lưu trữ trên nền tảng Discord hợp pháp. Điều này cho phép phần mềm độc hại trốn tránh sự phát hiện của một số biện pháp bảo mật truyền thống, khiến việc phát hiện và loại bỏ phần mềm độc hại trở nên khó khăn hơn.

CHUỘT mù màu mang mật mã cho trò chơi 'rắn'

Phần mềm độc hại sử dụng một cơ chế bền vững liên quan đến việc thêm tập lệnh Visual Basic (VB) có tên 'Essentials. vbs' vào thư mục 'Start Up' trong 'Menu Start' của người dùng. Khi đăng nhập, tập lệnh VB sẽ thực thi một tệp lô Windows mà phần mềm độc hại đưa vào cùng thư mục với 'python.exe.' Tệp bó này khởi động phần mềm độc hại bằng Python mỗi khi người dùng đăng nhập, đảm bảo rằng phần mềm độc hại vẫn hoạt động và hiện diện trên hệ thống.

Phần mềm độc hại này có chức năng lọc tệp tận dụng 'transfer[.]sh', một trang web chuyển tệp ẩn danh ngày càng phổ biến đối với các tác nhân đe dọa. Phần mềm độc hại này cũng chứa mã liên quan đến kỹ thuật xã hội, mã này tạo ra thông báo lỗi nhằm thuyết phục người dùng chạy lại phần mềm độc hại với tư cách quản trị viên. Ngoài ra, phần mềm độc hại này chứa một phiên bản nhúng của trò chơi 'Snake' dường như là bản sao mã trực tiếp từ kho lưu trữ GitHub. Tuy nhiên, trò chơi này không phục vụ bất kỳ mục đích rõ ràng nào và không bắt đầu khi thực hiện.

Phần mềm độc hại kích hoạt nhiều quy trình con, bao gồm các chuỗi để thu thập cookie, mật khẩu và ví tiền điện tử. Để bật điều khiển từ xa, phần mềm độc hại sẽ khởi động ứng dụng web Flask. Sau đó, mối đe dọa làm cho ứng dụng có thể truy cập được vào internet thông qua tiện ích đường hầm ngược của Cloudflare có tên là 'cloudflared'. Bằng cách sử dụng phương pháp này, phần mềm độc hại có thể bỏ qua mọi quy tắc tường lửa gửi đến và duy trì sự hiện diện liên tục trên hệ thống bị xâm nhập.

Tập hợp mở rộng các khả năng đe dọa được tìm thấy trong RAT mù màu

Colour-BLind RAT và các chức năng có hại khác nhau của nó có thể được kiểm soát thông qua ứng dụng Web. Chức năng mã thông báo có thể kết xuất mã thông báo đăng nhập cho một số ứng dụng sử dụng crom thông qua electron.io hoặc crom trực tiếp làm khung ứng dụng, bao gồm cả Discord. Chức năng mật khẩu kết xuất mật khẩu được trích xuất từ trình duyệt web lên màn hình, trong khi chức năng cookie kết xuất tất cả cookie của trình duyệt lên màn hình. Chức năng của các phím kết xuất dữ liệu đã chụp vào bộ ghi chính và hiển thị dữ liệu đó trên màn hình.

Trong số các khả năng của RAT còn có chức năng ứng dụng, cung cấp danh sách các ứng dụng hiện đang hoạt động và một nút để chấm dứt chúng. Chức năng kết xuất dữ liệu sẽ gửi tất cả dữ liệu đã chụp tới URL C2. Chức năng màn hình hiển thị ảnh chụp màn hình màn hình của người dùng và cho phép tương tác thô sơ, chẳng hạn như nhấn phím. Mối đe dọa cũng có thể tra cứu thông tin IP và hiển thị nó trên màn hình bằng một chức năng khác. Nó có thể mở trình duyệt đến một trang web nhất định và chạy các lệnh thông qua hệ điều hành. Thông tin ví tiền điện tử có thể được thu thập từ thiết bị bị xâm phạm thông qua chức năng phantom/Metamask.

Tuy nhiên, Colour-Blind RAT có thể thực hiện nhiều hành động hơn nữa trên các hệ thống bị nhiễm, chẳng hạn như sử dụng điểm cuối /camera để theo dõi người dùng không nghi ngờ thông qua camera web. Ngoài ra còn có nhiều điểm cuối bắt đầu bằng 'hvnc', xử lý màn hình nền ẩn được tạo trên máy của nạn nhân. Hàm /hvncmanager cho phép khởi động trình duyệt Web trên màn hình ẩn này. Hàm /hvnc được sử dụng để mở màn hình nền ẩn và nó cho phép các tác nhân đe dọa tương tác với nó. Khả năng mở trình duyệt web theo cách ẩn như vậy có thể bị các tác nhân đe dọa khai thác để truy cập hoặc tương tác với tài khoản internet của nạn nhân. Hàm /hvncitem cho phép kẻ tấn công thực thi các lệnh tùy chỉnh trên màn hình ẩn thông qua thao tác với tham số URL 'bắt đầu'.