Die farbenblinde RAT schlängelt sich auf PyPI zu

Es wurde entdeckt, dass ein Python-Paket namens „colourfool“, das auf PyPI hochgeladen wurde, einen bösartigen Informationsdieb und einen Trojaner für den Fernzugriff enthält.

Das Cyber-Threat-Intelligence-Team von Kroll identifizierte die Malware, die sie „Colour-Blind“ nannten. Schädliche Python-Module wie colourfool verstecken ihren schädlichen Code im Setup-Skript, und die Malware stellt die Persistenz durch ein Visual Basic-Skript her, während sie transfer[.]sh für die Datenexfiltration verwendet. Der Trojaner ist in der Lage, Passwörter zu sammeln, Screenshots zu machen, Tastenanschläge zu protokollieren, beliebige Webseiten zu öffnen, Befehle auszuführen, Krypto-Wallet-Daten zu erfassen und sogar Opfer über ihre Webcams auszuspionieren.

Die Malware ist auch so konzipiert, dass sie der Erkennung entgeht, indem sie auf Sandbox-Ausführung prüft und eine Flask-Webanwendung zur Fernsteuerung einrichtet, auf die sie über das Reverse-Tunnel-Dienstprogramm „cloudflared“ von Cloudflare zugreifen kann. Forscher haben die Ähnlichkeit zwischen dieser Kampagne und der von Phylum im letzten Monat offenbarten festgestellt, bei der sechs betrügerische Pakete verwendet wurden, um eine Dieb-mit-RAT namens poweRAT zu verbreiten, die auch Flask und Cloudflare zur Fernsteuerung verwendete.

Die Forscher glauben, dass diese Ähnlichkeiten darauf hindeuten, dass verschiedene Bedrohungsakteure Ideen, Ressourcen oder Codes teilen und nicht eine Weiterentwicklung einer Codebasis, die von einem einzigen Akteur entwickelt wird.

Was ist ein Remote-Access-Trojaner?

Ein Remote-Access-Trojaner (RAT) ist eine Art Malware, die einem Angreifer unbefugten Zugriff auf das Computersystem eines Opfers verschafft. Der Angreifer kann dann das kompromittierte System fernsteuern, wodurch er vertrauliche Daten stehlen, andere bösartige Software installieren und andere schändliche Aktivitäten ausführen kann. RATs werden normalerweise über Phishing-E-Mails, Social Engineering oder andere Arten von Social-Engineering-Angriffen übermittelt. Nach der Installation richten sie eine Hintertür in das System ein, die es dem Angreifer ermöglicht, auf den Computer des Opfers zuzugreifen und ihn aus der Ferne zu steuern. RATs werden häufig bei gezielten Angriffen gegen Einzelpersonen, Organisationen und Regierungen eingesetzt und können sehr schwer zu erkennen und zu entfernen sein.

Wie können Sie Ihr System vor Malware schützen, die der farbenblinden Ratte ähnelt?

Es gibt mehrere Schritte, die Sie unternehmen können, um Ihr System vor Malware ähnlich der Colour-Blind RAT zu schützen:

• Halten Sie Ihr System und Ihre Software mit den neuesten Sicherheitspatches und Updates auf dem neuesten Stand.
• Verwenden Sie Antivirensoftware und aktualisieren Sie diese regelmäßig.
• Seien Sie vorsichtig beim Herunterladen und Installieren von Software, insbesondere von nicht vertrauenswürdigen Quellen.
• Verwenden Sie ein seriöses Software-Repository wie PyPI und überprüfen Sie sorgfältig die Details aller Pakete, die Sie installieren möchten.
• Verwenden Sie eine Firewall, um den eingehenden Datenverkehr zu blockieren und den ausgehenden Datenverkehr nur auf wichtige Anwendungen zu beschränken.
• Sichern Sie Ihre wichtigen Daten regelmäßig auf einem externen Gerät oder einem Cloud-basierten Speicherdienst.