PY#RATION RAT utilise une approche C2 unique

trojan horse malware

Les chercheurs en sécurité ont identifié une nouvelle cyberattaque utilisant un cheval de Troie d'accès à distance (RAT) basé sur Python en août 2022. Selon Securonix, le malware, appelé PY#RATION, est unique avec son utilisation de WebSockets pour la communication de commande et de contrôle. et l'exfiltration de données.

Les e-mails de phishing utilisés pour cette attaque contiennent des archives ZIP contenant deux fichiers .LNK déguisés en images de permis de conduire britanniques. Lorsque chacun des liens est ouvert, deux fichiers texte sont téléchargés à partir d'un serveur distant et renommés en fichiers .BAT lors de l'exécution en arrière-plan tout en affichant une fausse image.

De plus, un autre script batch est récupéré à partir d'un serveur C2 pour télécharger des charges utiles supplémentaires telles que CortanaAssistance.exe qui est utilisé pour tenter de déguiser le logiciel malveillant en un fichier système. Deux versions de ce cheval de Troie ont été identifiées (1.0 et 1.6) avec près de 1000 lignes de code ajoutées dans la nouvelle version pour prendre en charge les fonctions d'analyse du réseau et le chiffrement à l'aide du module Fernet. Les fonctionnalités incluent le transfert de fichiers, l'enregistrement de frappes, l'exécution de commandes système, l'extraction de mots de passe/cookies à partir de navigateurs Web, la capture de données de presse-papiers et la vérification de la présence d'un logiciel antivirus.

Cela sert également de voie pour déployer des logiciels malveillants supplémentaires tels qu'un voleur d'informations conçu pour acquérir des informations à partir de navigateurs Web et de portefeuilles de crypto-monnaie. Bien que l'origine de l'auteur de la menace reste inconnue, on pense que les cibles visées peuvent être situées au Royaume-Uni ou en Amérique du Nord à en juger par les leurres de phishing.

Quelles sont les portes dérobées que les logiciels malveillants comme PY#RATION utilisent pour compromettre un système ?

Les portes dérobées sont des programmes malveillants qui permettent aux attaquants d'accéder à un système à l'insu ou sans l'autorisation de l'utilisateur. Les logiciels malveillants tels que PY#RATION utilisent généralement des portes dérobées pour compromettre un système en exploitant les vulnérabilités du système d'exploitation, des applications ou des protocoles réseau.

Les techniques courantes de porte dérobée incluent l'utilisation d'outils d'accès à distance tels que le protocole RDP (Remote Desktop Protocol), la création de comptes cachés avec des privilèges d'administration et l'utilisation de scripts malveillants pour exécuter des commandes sur la machine cible. Les portes dérobées peuvent également être utilisées pour contourner les mécanismes d'authentification et accéder à des données sensibles. De plus, les portes dérobées peuvent être utilisées pour installer des logiciels malveillants supplémentaires sur le système compromis, permettant aux attaquants d'étendre davantage leur contrôle sur la machine de la victime.

Pourquoi les chevaux de Troie d'accès à distance comme PY#RATION sont-ils un problème de sécurité majeur pour toute victime ?

Les chevaux de Troie d'accès à distance tels que PY#RATION constituent un problème de sécurité majeur pour toute victime, car ils permettent aux attaquants d'accéder à un système à l'insu ou sans l'autorisation de l'utilisateur. Ce type de logiciel malveillant peut exploiter les vulnérabilités du système d'exploitation, des applications ou des protocoles réseau pour contourner les mécanismes d'authentification et accéder à des données sensibles.

De plus, les portes dérobées peuvent être utilisées pour installer des logiciels malveillants supplémentaires sur le système compromis, permettant aux attaquants d'étendre davantage leur contrôle sur la machine de la victime. Cela signifie qu'un attaquant pourrait potentiellement avoir un contrôle total sur l'ordinateur d'une victime, y compris l'accès à des informations personnelles telles que des mots de passe et des données financières. De plus, les chevaux de Troie d'accès à distance peuvent être utilisés pour lancer des attaques par déni de service distribué (DDoS) contre d'autres systèmes ou réseaux, ce qui les rend encore plus dangereux.

En tant que tel, il est important que les utilisateurs prennent des mesures pour se protéger contre ces types de menaces en utilisant des mots de passe forts et en gardant leurs systèmes à jour avec les derniers correctifs de sécurité.

Par Zaib
January 27, 2023
Trojan
Français
January 27, 2023
Trojan

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.