PY#RATION 老鼠

一场新的攻击活动已经在野外被发现。威胁行动使用一种新的基于 Python 的恶意软件，称为 PY#RATION RAT。与这些远程访问木马 (RAT) 的典型情况一样，PY#RATION 具有一套全面的有害功能，包括数据泄露和键盘记录。这种威胁的独特之处在于它使用 WebSockets 进行命令与控制（C2、C&C）通信和渗透，以及它能够逃避反恶意软件解决方案和网络安全措施的检测。

网络安全研究人员在一份报告中披露了有关 PY#RATION RAT 的详细信息。根据他们的调查结果，威胁背后的网络犯罪分子主要集中在英国或北美的目标，从攻击中使用的网络钓鱼诱饵来看。

PY#RATION 的攻击链

攻击始于一封包含 ZIP 存档的欺骗性网络钓鱼电子邮件。存档内有两个快捷方式 (.LNK) 文件，伪装成所谓的真正英国驾照的正面和背面图像。打开这些 .LNK 文件中的每一个时，会从远程服务器检索两个文本文件，然后将其另存为 .BAT 文件。

当向受害者显示诱饵图像时，有害文件会在系统后台静默执行。此外，另一个批处理脚本是从 C2 服务器下载的，该脚本获取其他有效负载，包括名为“CortanaAssistance.exe”的 Python 二进制文件。使用 Microsoft 的虚拟助手 Cortana 意味着攻击者可能试图将其损坏的代码伪装成合法的系统文件。

PY#RATION RAT 的伤害能力

已检测到两个 PY#RATION 特洛伊木马版本（版本 1.0 和 1.6）。较新的版本包括近 1,000 行附加代码，其中添加了网络扫描功能以检查受感染的网络，并使用 fernet 模块在 Python 代码上添加了一个加密层。此外，威胁还可以将文件从被攻破的主机传输到其 C2 服务器，反之亦然。

RAT 可以开始记录击键、执行系统命令、从 Web 浏览器中提取密码和 cookie、捕获剪贴板数据并检测安全软件的存在。威胁参与者可以利用 PY#RATION 作为部署其他威胁有效载荷的网关，例如另一个基于 Python 的信息窃取程序，明确创建用于从 Web 浏览器和加密货币钱包中收集数据。