PyXie RAT
PyXie RAT是最早在2018年发现的威胁。从本质上讲,此威胁是RAT(远程访问木马),它是用Python编程语言编写的。当恶意软件研究人员首次发现PyXie RAT时,威胁并未广泛传播。但是,此后,它的运营商已确保扩大范围,网络安全专家发现了潜伏在网络中的多种威胁。在剖析PyXie RAT时,专家得出的结论是它的作者非常熟练并且经验丰富,因为这种威胁是非常高端的远程访问木马。 PyXie RAT的创建者已经从几个臭名昭著的黑客工具中借用了代码,并确保难以对其进行研究和分析。
打包威胁下载器模块
操作员的Google或LogMeIn合法DLL文件的代码已损坏。 PyXie RAT的作者还破坏了Tetris应用程序,并使用它来启动名为Cobalt Strike的工具集的模块。 PyXie RAT的创建者可能受到Shifu银行木马程序作者的启发,因为他们俩似乎都使用非常相似的下载器模块。一旦PyXie RAT入侵了主机,它将把其文件放置在几个%APPDATA%子文件夹中。该威胁还将通过篡改Windows注册表来确保获得持久性。 PyXie RAT的作者已经模糊了威胁的源代码,因此剖析威胁是一项困难得多的任务。我们之前提到的下载器模块称为“钴模式”,它可以通过从攻击者的C&C(命令与控制)服务器获取负载,解密并执行来将其他恶意软件植入主机。
能力
除了能够在受感染的计算机上植入其他恶意软件之外,PyXie RAT还能够:
- 启动键盘记录器并收集按键,然后将其传输到攻击者的C&C服务器。
- 通过用户的网络摄像头录制视频。
- 启动远程桌面连接。
- 从可能插入的任何可移动存储设备中收集文件。
- 从FTP客户端和Web浏览器收集登录凭据。
- 收集来自Discord,Steam,Telegram和其他用于通信的应用程序的会话数据。
- 注入可用于网络钓鱼操作的自定义网站。
PyXie RAT是绝对应该警惕的威胁。此高端黑客工具能够造成破坏并收集大量信息。如果您想保护您的数据和系统免受这种有害生物的侵扰,请确保下载并安装信誉良好的防病毒软件解决方案。
