色盲大鼠

网络安全研究人员发现了一个上传到 Python 包索引 (PyPI) 的威胁性 Python 包，其中包含有害信息窃取程序和远程访问木马 (RAT)。该软件包被命名为“colourfool”并由安全研究团队识别，他们将恶意软件威胁本身命名为“Colour-Blind”。

这一事件凸显了网络犯罪民主化的增长趋势，恶意行为者可以很容易地访问现有代码并将其重新用于他们自己的意图。研究人员解释说，在线犯罪的民主化可能会导致威胁加剧，因为攻击者可以利用来自他人的代码来创建其恶意软件的多个变体。

与其他最近的流氓 Python 模块一样，Colour-Blind 使用一种技术在安装脚本中隐藏其错误代码。安装脚本然后指向托管在合法 Discord 平台上的 ZIP 存档有效负载。这允许恶意软件逃避某些传统安全措施的检测，使其更难检测和删除。

色盲 RAT 携带“贪吃蛇”游戏的代码

该恶意软件利用一种持久性机制，该机制涉及添加一个名为“Essentials”的 Visual Basic (VB) 脚本。 vbs”到用户“开始菜单”中的“启动”文件夹。登录后，VB 脚本执行一个 Windows 批处理文件，恶意软件将该文件注入与“python.exe”相同的文件夹中。每次用户登录时，此批处理文件都会使用 Python 启动恶意软件，确保恶意软件保持活动状态并存在于系统中。

该恶意软件具有利用“transfer[.]sh”的文件渗出功能，这是一个在威胁参与者中越来越受欢迎的匿名文件传输网站。该恶意软件还包含与社会工程相关的代码，它会生成一条错误消息，试图说服用户以管理员身份重新运行该恶意软件。此外，该恶意软件还包含“贪吃蛇”游戏的嵌入式版本，该游戏似乎是 GitHub 存储库中代码的直接副本。然而，这个游戏没有任何明显的目的，并且在执行时不会启动。

该恶意软件会触发多个子进程，其中包括用于收集 cookie、密码和加密货币钱包的线程。为了启用远程控制，恶意软件会启动 Flask Web 应用程序。然后，威胁通过 Cloudflare 名为“cloudflared”的反向隧道实用程序使应用程序可以访问互联网。通过使用这种方法，恶意软件可以绕过任何入站防火墙规则并在受感染的系统上保持持久存在。

在色盲 RAT 中发现的一系列广泛的威胁能力

Colour-BLind RAT 及其各种有害功能可以通过 Web 应用程序进行控制。 tokens 函数可以转储多个应用程序的登录令牌，这些应用程序通过 electron.io 使用 chromium 或直接将 chromium 作为应用程序框架，其中包括 Discord。 passwords 函数将从 web 浏览器提取的密码转储到屏幕，而 cookies 函数将所有浏览器 cookie 转储到屏幕。按键功能将捕获的数据转储到按键记录器并将其显示在屏幕上。

RAT 的功能还包括应用程序功能，它提供当前活动应用程序的列表和一个终止它们的按钮。数据转储功能将所有捕获的数据发送到 C2 URL。 screen 函数显示用户桌面的屏幕截图，并允许进行基本的交互，例如按键。威胁还可以查找 IP 信息并使用不同的功能将其显示在屏幕上。它可以打开浏览器到给定的网页并通过操作系统运行命令。加密货币钱包信息可以通过 phantom/Metamask 功能从被破坏的设备中获取。

然而，色盲 RAT 可以在受感染的系统上执行更多操作，例如使用 /camera 端点通过网络摄像头监视毫无戒心的用户。还有各种以“hvnc”开头的端点，它们处理在受害者机器上创建的隐藏桌面。 /hvncmanager 函数允许在这个隐藏的桌面上启动 Web 浏览器。 /hvnc 功能用于打开隐藏的桌面，并允许威胁参与者与之交互。威胁行为者可以利用以这种隐藏方式打开网络浏览器的能力来访问受害者的互联网帐户或与之交互。 /hvncitem 函数使攻击者能够通过操纵 URL 参数“start”在隐藏的桌面上执行自定义命令。