PY#RATION RAT utilizza l'approccio C2 unico

I ricercatori di sicurezza hanno identificato un nuovo attacco informatico utilizzando un Trojan ad accesso remoto (RAT) basato su Python nell'agosto 2022. Secondo Securonix, il malware, denominato PY#RATION, è unico con il suo utilizzo di WebSocket per la comunicazione di comando e controllo ed esfiltrazione di dati.

Le e-mail di phishing utilizzate per questo attacco contengono archivi ZIP che contengono due file .LNK mascherati da immagini della patente di guida del Regno Unito. Quando ciascuno dei collegamenti viene aperto, due file di testo vengono scaricati da un server remoto e rinominati come file .BAT durante l'esecuzione in background durante la visualizzazione di un'immagine falsa.

Inoltre, un altro script batch viene recuperato da un server C2 per scaricare payload aggiuntivi come CortanaAssistance.exe che viene utilizzato per tentare di mascherare il malware come file di sistema. Sono state identificate due versioni di questo trojan (1.0 e 1.6) con quasi 1000 righe di codice aggiunte nella versione più recente per supportare le funzionalità di scansione della rete e la crittografia utilizzando il modulo Fernet. Le funzionalità includono il trasferimento di file, la registrazione di sequenze di tasti, l'esecuzione di comandi di sistema, l'estrazione di password/cookie dai browser Web, l'acquisizione di dati negli appunti e il controllo della presenza di software antivirus.

Questo funge anche da percorso per la distribuzione di malware aggiuntivo come un ladro di informazioni progettato per acquisire informazioni dai browser Web e dai portafogli di criptovaluta. Sebbene l'origine dell'autore della minaccia rimanga sconosciuta, si ritiene che gli obiettivi previsti possano trovarsi nel Regno Unito o nel Nord America a giudicare dalle esche di phishing.

Quali sono le backdoor utilizzate da malware come PY#RATION per compromettere un sistema?

Le backdoor sono programmi dannosi che consentono agli aggressori di accedere a un sistema all'insaputa o all'autorizzazione dell'utente. I malware come PY#RATION in genere utilizzano backdoor per compromettere un sistema sfruttando le vulnerabilità del sistema operativo, delle applicazioni o dei protocolli di rete.

Le comuni tecniche backdoor includono l'utilizzo di strumenti di accesso remoto come Remote Desktop Protocol (RDP), la creazione di account nascosti con privilegi amministrativi e l'utilizzo di script dannosi per eseguire comandi sul computer di destinazione. Le backdoor possono anche essere utilizzate per aggirare i meccanismi di autenticazione e ottenere l'accesso a dati sensibili. Inoltre, le backdoor possono essere utilizzate per installare malware aggiuntivo sul sistema compromesso, consentendo agli aggressori di espandere ulteriormente il proprio controllo sulla macchina della vittima.

Perché i trojan di accesso remoto come PY#RATION rappresentano un grave problema di sicurezza per qualsiasi vittima?

I trojan di accesso remoto come PY#RATION rappresentano un grave problema di sicurezza per qualsiasi vittima perché consentono agli aggressori di ottenere l'accesso a un sistema all'insaputa o all'autorizzazione dell'utente. Questo tipo di malware può sfruttare le vulnerabilità del sistema operativo, delle applicazioni o dei protocolli di rete per aggirare i meccanismi di autenticazione e ottenere l'accesso a dati sensibili.

Inoltre, le backdoor possono essere utilizzate per installare malware aggiuntivo sul sistema compromesso, consentendo agli aggressori di espandere ulteriormente il proprio controllo sulla macchina della vittima. Ciò significa che un utente malintenzionato potrebbe potenzialmente avere il controllo completo sul computer di una vittima, incluso l'accesso a informazioni personali come password e dati finanziari. Inoltre, i trojan di accesso remoto possono essere utilizzati per lanciare attacchi DDoS (Distributed Denial of Service) contro altri sistemi o reti, rendendoli ancora più pericolosi.

Pertanto, è importante che gli utenti adottino misure per proteggersi da questi tipi di minacce utilizzando password complesse e mantenendo i propri sistemi aggiornati con le ultime patch di sicurezza.