PY#RATION RAT Gebruikt unieke C2-benadering

trojan horse malware

Beveiligingsonderzoekers hebben in augustus 2022 een nieuwe cyberaanval geïdentificeerd met behulp van een op Python gebaseerde Remote Access Trojan (RAT). Volgens Securonix is de malware, aangeduid als PY#RATION, uniek door het gebruik van WebSockets voor commando- en controlecommunicatie en data-exfiltratie.

De phishing-e-mails die voor deze aanval zijn gebruikt, bevatten ZIP-archieven die twee .LNK-bestanden bevatten die zijn vermomd als afbeeldingen van Britse rijbewijzen. Wanneer elk van de links wordt geopend, worden twee tekstbestanden gedownload van een externe server en hernoemd naar .BAT-bestanden terwijl ze op de achtergrond worden uitgevoerd terwijl een nepafbeelding wordt weergegeven.

Bovendien wordt een ander batchscript opgehaald van een C2-server om extra payloads te downloaden, zoals CortanaAssistance.exe, dat wordt gebruikt om te proberen de malware te vermommen als een systeembestand. Er zijn twee versies van deze trojan geïdentificeerd (1.0 en 1.6) met bijna 1000 regels code toegevoegd in de nieuwere versie ter ondersteuning van netwerkscanfuncties en codering met behulp van de Fernet-module. De mogelijkheden omvatten het overbrengen van bestanden, het opnemen van toetsaanslagen, het uitvoeren van systeemopdrachten, het extraheren van wachtwoorden/cookies uit webbrowsers, het vastleggen van klembordgegevens en het controleren op aanwezigheid van antivirussoftware.

Dit dient ook als een pad voor het inzetten van aanvullende malware, zoals een info-stealer die is ontworpen om informatie te verkrijgen van webbrowsers en cryptocurrency-portefeuilles. Hoewel de oorsprong van de dreigingsacteur onbekend blijft, wordt aangenomen dat de beoogde doelen zich in het VK of Noord-Amerika kunnen bevinden, te oordelen naar de phishing-lokmiddelen.

Wat zijn backdoors die malware zoals PY#RATION gebruikt om een systeem binnen te dringen?

Backdoors zijn schadelijke programma's waarmee aanvallers toegang kunnen krijgen tot een systeem zonder medeweten of toestemming van de gebruiker. Malware zoals PY#RATION gebruikt doorgaans backdoors om een systeem te compromitteren door misbruik te maken van kwetsbaarheden in het besturingssysteem, applicaties of netwerkprotocollen.

Veelvoorkomende achterdeurtechnieken zijn onder meer het gebruik van tools voor externe toegang, zoals Remote Desktop Protocol (RDP), het maken van verborgen accounts met beheerdersbevoegdheden en het gebruik van kwaadaardige scripts om opdrachten uit te voeren op de doelcomputer. Backdoors kunnen ook worden gebruikt om authenticatiemechanismen te omzeilen en toegang te krijgen tot gevoelige gegevens. Bovendien kunnen backdoors worden gebruikt om extra malware op het gecompromitteerde systeem te installeren, waardoor aanvallers hun controle over de machine van het slachtoffer verder kunnen uitbreiden.

Waarom zijn trojans voor externe toegang zoals PY#RATION een groot beveiligingsprobleem voor elk slachtoffer?

Trojaanse paarden voor toegang op afstand, zoals PY#RATION, vormen een groot beveiligingsprobleem voor elk slachtoffer, omdat ze aanvallers in staat stellen toegang te krijgen tot een systeem zonder medeweten of toestemming van de gebruiker. Dit type malware kan misbruik maken van kwetsbaarheden in het besturingssysteem, applicaties of netwerkprotocollen om authenticatiemechanismen te omzeilen en toegang te krijgen tot gevoelige gegevens.

Bovendien kunnen backdoors worden gebruikt om extra malware op het gecompromitteerde systeem te installeren, waardoor aanvallers hun controle over de machine van het slachtoffer verder kunnen uitbreiden. Dit betekent dat een aanvaller mogelijk volledige controle heeft over de computer van een slachtoffer, inclusief toegang tot persoonlijke informatie zoals wachtwoorden en financiële gegevens. Bovendien kunnen trojans voor externe toegang worden gebruikt om gedistribueerde denial-of-service (DDoS)-aanvallen op andere systemen of netwerken uit te voeren, waardoor ze nog gevaarlijker worden.

Daarom is het belangrijk dat gebruikers stappen ondernemen om zichzelf tegen dit soort bedreigingen te beschermen door sterke wachtwoorden te gebruiken en hun systemen up-to-date te houden met de nieuwste beveiligingspatches.

January 27, 2023
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.