色盲のRATがPyPIに侵入
PyPI にアップロードされた「colourfool」という名前の Python パッケージに、悪意のある情報窃盗プログラムとリモート アクセス トロイの木馬が含まれていることが判明しました。
クロールのサイバー脅威インテリジェンス チームは、「カラー ブラインド」と呼ばれるマルウェアを特定しました。 colorfool のような悪意のある Python モジュールは、有害なコードをセットアップ スクリプトに隠しています。このマルウェアは、データの引き出しに transfer[.]sh を使用している間、Visual Basic スクリプトを介して永続性を確立します。このトロイの木馬は、パスワードの収集、スクリーンショットの取得、キーストロークのログ記録、任意の Web ページのオープン、コマンドの実行、暗号ウォレット データの取得、さらには Web カメラを介して被害者をスパイすることができます。
このマルウェアは、サンドボックスの実行をチェックし、Flask Web アプリケーションをリモート コントロール用に設定することで検出を回避するようにも設計されており、Cloudflare のリバース トンネル ユーティリティ「cloudflared」を介してアクセスできるようにします。研究者は、このキャンペーンと Phylum が先月公開したものとの類似性に注目しています。このキャンペーンでは、リモート コントロールに Flask と Cloudflare も使用する、powerRAT と呼ばれるスティーラー兼 RAT を配布するために 6 つの詐欺パッケージが使用されました。
研究者は、これらの類似性は、単一の攻撃者によって開発されたコード ベースの進化ではなく、さまざまな攻撃者がアイデア、リソース、またはコードを共有していることを示していると考えています。
リモートアクセス型トロイの木馬とは?
リモート アクセス トロイの木馬 (RAT) は、被害者のコンピュータ システムへの不正アクセスを攻撃者に提供するマルウェアの一種です。その後、攻撃者は侵害されたシステムをリモートで制御し、機密データを盗んだり、他の悪意のあるソフトウェアをインストールしたり、その他の悪意のある活動を実行したりできます。 RAT は通常、フィッシング メール、ソーシャル エンジニアリング、またはその他の種類のソーシャル エンジニアリング攻撃によって配信されます。インストールされると、システムにバックドアを確立し、攻撃者が被害者のコンピューターにリモートでアクセスして制御できるようにします。 RAT は、個人、組織、および政府に対する標的型攻撃で使用されることが多く、検出と削除が非常に困難な場合があります。
Color-Blind RAT に似たマルウェアからシステムを保護するにはどうすればよいですか?
Colour-Blind RAT に似たマルウェアからシステムを保護するには、いくつかの手順を実行できます。
- 最新のセキュリティ パッチと更新プログラムを使用して、システムとソフトウェアを最新の状態に保ちます。
- ウイルス対策ソフトウェアを使用し、定期的に更新してください。
- 特に信頼できないソースからソフトウェアをダウンロードしてインストールするときは注意してください。
- PyPI などの評判の良いソフトウェア リポジトリを使用し、インストールする予定のパッケージの詳細を慎重に確認してください。
- ファイアウォールを使用して着信トラフィックをブロックし、発信トラフィックを重要なアプリケーションのみに制限します。
- 重要なデータを外部デバイスまたはクラウドベースのストレージ サービスに定期的にバックアップします。