PY#RATION RAT verwendet einen einzigartigen C2-Ansatz

Sicherheitsforscher haben bereits im August 2022 einen neuen Cyberangriff mit einem Python-basierten Remote Access Trojaner (RAT) identifiziert. Laut Securonix ist die als PY#RATION bezeichnete Malware einzigartig, da sie WebSockets für die Befehls- und Kontrollkommunikation verwendet und Datenexfiltration.

Die für diesen Angriff verwendeten Phishing-E-Mails enthalten ZIP-Archive, die zwei .LNK-Dateien enthalten, die als britische Führerscheinbilder getarnt sind. Wenn jeder der Links geöffnet wird, werden zwei Textdateien von einem Remote-Server heruntergeladen und in .BAT-Dateien umbenannt, während sie im Hintergrund ausgeführt werden, während ein gefälschtes Bild angezeigt wird.

Darüber hinaus wird ein weiteres Batch-Skript von einem C2-Server abgerufen, um zusätzliche Payloads wie CortanaAssistance.exe herunterzuladen, die verwendet wird, um zu versuchen, die Malware als Systemdatei zu tarnen. Es wurden zwei Versionen dieses Trojaners identifiziert (1.0 und 1.6), wobei in der neueren Version fast 1000 Codezeilen hinzugefügt wurden, um Netzwerkscanfunktionen und Verschlüsselung mit dem Fernet-Modul zu unterstützen. Zu den Funktionen gehören das Übertragen von Dateien, das Aufzeichnen von Tastenanschlägen, das Ausführen von Systembefehlen, das Extrahieren von Kennwörtern/Cookies aus Webbrowsern, das Erfassen von Daten aus der Zwischenablage und das Überprüfen auf das Vorhandensein von Antivirensoftware.

Dies dient auch als Weg für den Einsatz zusätzlicher Malware, wie z. B. eines Info-Stealers, der darauf ausgelegt ist, Informationen von Webbrowsern und Kryptowährungs-Wallets zu erhalten. Obwohl die Herkunft des Bedrohungsakteurs unbekannt bleibt, wird angenommen, dass sich die beabsichtigten Ziele in Großbritannien oder Nordamerika befinden könnten, wenn man den Phishing-Ködern nachgeht.

Was sind Hintertüren, die Malware wie PY#RATION verwendet, um ein System zu kompromittieren?

Backdoors sind bösartige Programme, die es Angreifern ermöglichen, ohne Wissen oder Erlaubnis des Benutzers auf ein System zuzugreifen. Malware wie PY#RATION verwendet normalerweise Hintertüren, um ein System zu kompromittieren, indem sie Schwachstellen im Betriebssystem, in Anwendungen oder in Netzwerkprotokollen ausnutzt.

Zu den gängigen Backdoor-Techniken gehören die Verwendung von Tools für den Fernzugriff wie das Remote Desktop Protocol (RDP), das Erstellen versteckter Konten mit Administratorrechten und die Verwendung bösartiger Skripts zum Ausführen von Befehlen auf dem Zielcomputer. Backdoors können auch verwendet werden, um Authentifizierungsmechanismen zu umgehen und sich Zugang zu sensiblen Daten zu verschaffen. Darüber hinaus können Backdoors verwendet werden, um zusätzliche Malware auf dem kompromittierten System zu installieren, wodurch Angreifer ihre Kontrolle über den Computer des Opfers weiter ausbauen können.

Warum sind Fernzugriffstrojaner wie PY#RATION ein großes Sicherheitsproblem für jedes Opfer?

Fernzugriffstrojaner wie PY#RATION sind ein großes Sicherheitsproblem für jedes Opfer, da sie Angreifern den Zugriff auf ein System ohne das Wissen oder die Erlaubnis des Benutzers ermöglichen. Diese Art von Malware kann Schwachstellen im Betriebssystem, in Anwendungen oder Netzwerkprotokollen ausnutzen, um Authentifizierungsmechanismen zu umgehen und Zugriff auf vertrauliche Daten zu erhalten.

Darüber hinaus können Backdoors verwendet werden, um zusätzliche Malware auf dem kompromittierten System zu installieren, wodurch Angreifer ihre Kontrolle über den Computer des Opfers weiter ausbauen können. Dies bedeutet, dass ein Angreifer potenziell die vollständige Kontrolle über den Computer eines Opfers haben könnte, einschließlich des Zugriffs auf persönliche Informationen wie Passwörter und Finanzdaten. Darüber hinaus können Remote-Access-Trojaner verwendet werden, um Distributed-Denial-of-Service (DDoS)-Angriffe gegen andere Systeme oder Netzwerke zu starten, was sie noch gefährlicher macht.

Daher ist es wichtig, dass Benutzer Maßnahmen ergreifen, um sich vor dieser Art von Bedrohungen zu schützen, indem sie starke Kennwörter verwenden und ihre Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand halten.