A színvak patkány rátör a PyPI-re

A PyPI-be feltöltött "colourfool" nevű Python-csomagról kiderült, hogy rosszindulatú információlopót és távelérési trójai programot tartalmaz.

A Kroll Cyber Threat Intelligence csapata azonosította a kártevőt, amelyet "színvak"-nak neveztek. A rosszindulatú Python-modulok, például a colorfool, elrejtik ártalmas kódjukat a telepítőszkriptben, és a rosszindulatú program egy Visual Basic szkripten keresztül biztosítja az állandóságot, miközben a transfer[.]sh-t használja az adatok kiszűrésére. A trójai képes jelszavak gyűjtésére, képernyőképek készítésére, billentyűleütések naplózására, tetszőleges weboldalak megnyitására, parancsok végrehajtására, titkosított pénztárca adatainak rögzítésére, sőt webkamerájukon keresztül az áldozatok utáni kémkedésre is.

A kártevőt úgy tervezték, hogy elkerülje az észlelést azáltal, hogy ellenőrzi a sandbox végrehajtását, és beállít egy Flask webalkalmazást a távvezérléshez, amelyet a Cloudflare "cloudflared" fordított alagút segédprogramján keresztül tesz elérhetővé. A kutatók észrevették a hasonlóságot e kampány és a Phylum által a múlt hónapban közzétett kampány között, ahol hat hamis csomagot használtak fel a poweRAT nevű stealer-cum-RAT terjesztésére, amely a Flask és a Cloudflare távirányítót is használta.

A kutatók úgy vélik, hogy ezek a hasonlóságok arra utalnak, hogy a különböző fenyegetés szereplői ötleteket, erőforrásokat vagy kódot osztanak meg egymással, nem pedig egyetlen szereplő által kifejlesztett kódbázis evolúcióját.

Mi az a távoli hozzáférésű trójai?

A Remote Access Trojan (RAT) egy olyan rosszindulatú program, amely a támadó számára jogosulatlan hozzáférést biztosít az áldozat számítógépes rendszeréhez. A támadó ezután távolról irányíthatja a feltört rendszert, lehetővé téve számára érzékeny adatok ellopását, más rosszindulatú szoftverek telepítését és egyéb rosszindulatú tevékenységek végrehajtását. A RAT-ok rendszerint adathalász e-maileken, közösségi manipulációkon vagy más típusú social engineering támadásokon keresztül jutnak el. A telepítés után egy hátsó ajtót hoznak létre a rendszerbe, amely lehetővé teszi a támadó számára, hogy távolról hozzáférjen és vezérelje az áldozat számítógépét. A RAT-okat gyakran használják egyének, szervezetek és kormányok elleni célzott támadásokhoz, és nagyon nehéz észlelni és eltávolítani őket.

Hogyan védheti meg rendszerét a színvak RAT-hoz hasonló rosszindulatú programoktól?

Számos lépést megtehet, hogy megvédje rendszerét a Color-Blind RAT-hoz hasonló rosszindulatú programoktól:

• Tartsa naprakészen rendszerét és szoftverét a legújabb biztonsági javításokkal és frissítésekkel.
• Használjon víruskereső szoftvert, és rendszeresen frissítse.
• Legyen óvatos, amikor szoftvereket tölt le és telepít, különösen nem megbízható forrásból.
• Használjon jó hírű szoftvertárat, például PyPI-t, és alaposan tekintse át a telepíteni kívánt csomag részleteit.
• Tűzfallal blokkolja a bejövő forgalmat, és korlátozza a kimenő forgalmat csak a lényeges alkalmazásokra.
• Rendszeresen készítsen biztonsági másolatot fontos adatairól egy külső eszközre vagy felhőalapú tárolási szolgáltatásra.