色盲大鼠

網絡安全研究人員發現了一個上傳到 Python 包索引 (PyPI) 的威脅性 Python 包，其中包含有害信息竊取程序和遠程訪問木馬 (RAT)。該軟件包被命名為“colourfool”並由安全研究團隊識別，他們將惡意軟件威脅本身命名為“Colour-Blind”。

這一事件凸顯了網絡犯罪民主化的增長趨勢，惡意行為者可以很容易地訪問現有代碼並將其重新用於他們自己的意圖。研究人員解釋說，在線犯罪的民主化可能會導致威脅加劇，因為攻擊者可以利用來自他人的代碼來創建其惡意軟件的多個變體。

與其他最近的流氓 Python 模塊一樣，Colour-Blind 使用一種技術在安裝腳本中隱藏其錯誤代碼。安裝腳本然後指向託管在合法 Discord 平台上的 ZIP 存檔有效負載。這允許惡意軟件逃避某些傳統安全措施的檢測，使其更難檢測和刪除。

色盲 RAT 攜帶“貪吃蛇”遊戲的代碼

該惡意軟件利用一種持久性機制，該機制涉及添加一個名為“Essentials”的 Visual Basic (VB) 腳本。 vbs”到用戶“開始菜單”中的“啟動”文件夾。登錄後，VB 腳本執行一個 Windows 批處理文件，惡意軟件將該文件注入與“python.exe”相同的文件夾中。每次用戶登錄時，此批處理文件都會使用 Python 啟動惡意軟件，確保惡意軟件保持活動狀態並存在於系統中。

該惡意軟件具有利用“transfer[.]sh”的文件滲出功能，這是一個在威脅參與者中越來越受歡迎的匿名文件傳輸網站。該惡意軟件還包含與社會工程相關的代碼，它會生成一條錯誤消息，試圖說服用戶以管理員身份重新運行該惡意軟件。此外，該惡意軟件還包含“貪吃蛇”遊戲的嵌入式版本，該遊戲似乎是 GitHub 存儲庫中代碼的直接副本。然而，這個遊戲沒有任何明顯的目的，並且在執行時不會啟動。

該惡意軟件會觸發多個子進程，其中包括用於收集 cookie、密碼和加密貨幣錢包的線程。為了啟用遠程控制，惡意軟件會啟動 Flask Web 應用程序。然後，威脅通過 Cloudflare 名為“cloudflared”的反向隧道實用程序使應用程序可以訪問互聯網。通過使用這種方法，惡意軟件可以繞過任何入站防火牆規則並在受感染的系統上保持持久存在。

在色盲 RAT 中發現的一系列廣泛的威脅能力

Colour-BLind RAT 及其各種有害功能可以通過 Web 應用程序進行控制。 tokens 函數可以轉儲多個應用程序的登錄令牌，這些應用程序通過 electron.io 使用 chromium 或直接將 chromium 作為應用程序框架，其中包括 Discord。 passwords 函數將從 web 瀏覽器提取的密碼轉儲到屏幕，而 cookies 函數將所有瀏覽器 cookie 轉儲到屏幕。按鍵功能將捕獲的數據轉儲到按鍵記錄器並將其顯示在屏幕上。

RAT 的功能還包括應用程序功能，它提供當前活動應用程序的列表和一個終止它們的按鈕。數據轉儲功能將所有捕獲的數據發送到 C2 URL。 screen 函數顯示用戶桌面的屏幕截圖，並允許進行基本的交互，例如按鍵。威脅還可以查找 IP 信息並使用不同的功能將其顯示在屏幕上。它可以打開瀏覽器到給定的網頁並通過操作系統運行命令。加密貨幣錢包信息可以通過 phantom/Metamask 功能從被破壞的設備中獲取。

然而，色盲 RAT 可以在受感染的系統上執行更多操作，例如使用 /camera 端點通過網絡攝像頭監視毫無戒心的用戶。還有各種以“hvnc”開頭的端點，它們處理在受害者機器上創建的隱藏桌面。 /hvncmanager 函數允許在這個隱藏的桌面上啟動 Web 瀏覽器。 /hvnc 功能用於打開隱藏的桌面，並允許威脅參與者與之交互。威脅行為者可以利用以這種隱藏方式打開網絡瀏覽器的能力來訪問受害者的互聯網帳戶或與之交互。 /hvncitem 函數使攻擊者能夠通過操縱 URL 參數“start”在隱藏的桌面上執行自定義命令。