RAT daltônico abre caminho para o PyPI
Descobriu-se que um pacote Python chamado "colourfool" que foi carregado no PyPI contém um ladrão de informações malicioso e um trojan de acesso remoto.
A equipe de inteligência de ameaças cibernéticas da Kroll identificou o malware, que eles chamaram de "daltônico". Módulos maliciosos do Python, como colourfool, estão ocultando seu código nocivo no script de configuração, e o malware estabelece persistência por meio de um script do Visual Basic enquanto usa transfer[.]sh para exfiltração de dados. O trojan é capaz de coletar senhas, tirar screenshots, registrar teclas digitadas, abrir páginas da web arbitrárias, executar comandos, capturar dados de carteira criptográfica e até mesmo espionar as vítimas por meio de suas webcams.
O malware também é projetado para evitar a detecção, verificando a execução do sandbox e configurando um aplicativo web Flask para controle remoto, que torna acessível por meio do utilitário de túnel reverso 'cloudflared' da Cloudflare. Os pesquisadores notaram a semelhança entre esta campanha e a divulgada pela Phylum no mês passado, onde seis pacotes fraudulentos foram usados para distribuir um ladrão-cum-RAT chamado poweRAT, que também usou Flask e Cloudflare para controle remoto.
Os pesquisadores acreditam que essas semelhanças indicam que diferentes agentes de ameaças estão compartilhando ideias, recursos ou códigos, em vez de uma evolução de uma base de código desenvolvida por um único agente.
O que é um Trojan de acesso remoto?
Um Trojan de acesso remoto (RAT) é um tipo de malware que fornece a um invasor acesso não autorizado ao sistema de computador da vítima. O invasor pode controlar remotamente o sistema comprometido, permitindo que ele roube dados confidenciais, instale outro software malicioso e execute outras atividades nefastas. Os RATs geralmente são entregues por meio de e-mails de phishing, engenharia social ou outros tipos de ataques de engenharia social. Uma vez instalados, eles estabelecem um backdoor no sistema, permitindo que o invasor acesse e controle o computador da vítima remotamente. Os RATs costumam ser usados em ataques direcionados contra indivíduos, organizações e governos, e podem ser muito difíceis de detectar e remover.
Como você pode proteger seu sistema contra malware semelhante ao RAT daltônico?
Existem várias etapas que você pode seguir para proteger seu sistema contra malware semelhante ao Color-Blind RAT:
- Mantenha seu sistema e software atualizados com os últimos patches e atualizações de segurança.
- Use software antivírus e mantenha-o atualizado regularmente.
- Seja cauteloso ao baixar e instalar software, especialmente de fontes não confiáveis.
- Use um repositório de software respeitável, como o PyPI, e revise cuidadosamente os detalhes de qualquer pacote que planeja instalar.
- Use um firewall para bloquear o tráfego de entrada e limitar o tráfego de saída apenas aos aplicativos essenciais.
- Faça backup regularmente de seus dados importantes em um dispositivo externo ou serviço de armazenamento baseado em nuvem.