Το Colour-Blind RAT στρέφεται στο PyPI

Ένα πακέτο Python με το όνομα "colourfool" που μεταφορτώθηκε στο PyPI ανακαλύφθηκε ότι περιέχει κακόβουλο πρόγραμμα κλοπής πληροφοριών και trojan απομακρυσμένης πρόσβασης.

Η ομάδα πληροφοριών του Kroll's Cyber Threat Intelligence εντόπισε το κακόβουλο λογισμικό, το οποίο ονόμασαν "Color-Blind". Κακόβουλες λειτουργικές μονάδες Python, όπως το colourfool, αποκρύπτουν τον επιβλαβή κώδικά τους στο σενάριο εγκατάστασης και το κακόβουλο λογισμικό αποκαθιστά την επιμονή μέσω ενός σεναρίου της Visual Basic ενώ χρησιμοποιεί το transfer[.]sh για εξαγωγή δεδομένων. Ο trojan είναι ικανός να συλλέγει κωδικούς πρόσβασης, να παίρνει στιγμιότυπα οθόνης, να καταγράφει πατήματα πλήκτρων, να ανοίγει αυθαίρετες ιστοσελίδες, να εκτελεί εντολές, να συλλαμβάνει δεδομένα κρυπτογραφικού πορτοφολιού και ακόμη και να κατασκοπεύει τα θύματα μέσω των webcam τους.

Το κακόβουλο λογισμικό έχει επίσης σχεδιαστεί για να αποφεύγει τον εντοπισμό ελέγχοντας την εκτέλεση του sandbox και ρυθμίζοντας μια εφαρμογή web Flask για τηλεχειρισμό, την οποία καθιστά προσβάσιμη μέσω του βοηθητικού προγράμματος αντίστροφης σήραγγας του Cloudflare «cloudflared». Οι ερευνητές παρατήρησαν την ομοιότητα μεταξύ αυτής της καμπάνιας και αυτής που αποκάλυψε η Phylum τον περασμένο μήνα, όπου χρησιμοποιήθηκαν έξι δόλιες συσκευασίες για τη διανομή ενός stealer-cum-RAT που ονομάζεται poweRAT, το οποίο χρησιμοποίησε επίσης το Flask και το Cloudflare για τηλεχειρισμό.

Οι ερευνητές πιστεύουν ότι αυτές οι ομοιότητες δείχνουν ότι διαφορετικοί παράγοντες απειλών μοιράζονται ιδέες, πόρους ή κώδικα, αντί για μια εξέλιξη μιας βάσης κώδικα που αναπτύσσεται από έναν μόνο παράγοντα.

Τι είναι ένας Trojan απομακρυσμένης πρόσβασης;

Το Remote Access Trojan (RAT) είναι ένας τύπος κακόβουλου λογισμικού που παρέχει σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση στο σύστημα υπολογιστή του θύματος. Στη συνέχεια, ο εισβολέας μπορεί να ελέγξει εξ αποστάσεως το παραβιασμένο σύστημα, επιτρέποντάς του να κλέψει ευαίσθητα δεδομένα, να εγκαταστήσει άλλο κακόβουλο λογισμικό και να εκτελέσει άλλες βλαβερές δραστηριότητες. Οι RAT συνήθως παραδίδονται μέσω email ηλεκτρονικού ψαρέματος, κοινωνικής μηχανικής ή άλλων τύπων επιθέσεων κοινωνικής μηχανικής. Μόλις εγκατασταθούν, δημιουργούν μια κερκόπορτα στο σύστημα, επιτρέποντας στον εισβολέα να έχει πρόσβαση και να ελέγχει τον υπολογιστή του θύματος από απόσταση. Οι RAT χρησιμοποιούνται συχνά σε στοχευμένες επιθέσεις κατά ατόμων, οργανισμών και κυβερνήσεων και μπορεί να είναι πολύ δύσκολο να εντοπιστούν και να αφαιρεθούν.

Πώς μπορείτε να προστατέψετε το σύστημά σας από κακόβουλο λογισμικό παρόμοιο με το αχρωματοψία RAT;

Υπάρχουν πολλά βήματα που μπορείτε να ακολουθήσετε για να προστατεύσετε το σύστημά σας από κακόβουλο λογισμικό παρόμοιο με το Colour-Blind RAT:

• Διατηρήστε το σύστημα και το λογισμικό σας ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα και ενημερώσεις ασφαλείας.
• Χρησιμοποιήστε λογισμικό προστασίας από ιούς και ενημερώστε το τακτικά.
• Να είστε προσεκτικοί κατά τη λήψη και εγκατάσταση λογισμικού, ειδικά από μη αξιόπιστες πηγές.
• Χρησιμοποιήστε ένα αξιόπιστο αποθετήριο λογισμικού, όπως το PyPI, και ελέγξτε προσεκτικά τις λεπτομέρειες οποιουδήποτε πακέτου σκοπεύετε να εγκαταστήσετε.
• Χρησιμοποιήστε ένα τείχος προστασίας για να αποκλείσετε την εισερχόμενη κυκλοφορία και να περιορίσετε την εξερχόμενη κυκλοφορία μόνο σε βασικές εφαρμογές.
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας σε μια εξωτερική συσκευή ή υπηρεσία αποθήκευσης που βασίζεται σε cloud.