PY#RATION RAT usa abordagem C2 exclusiva

Pesquisadores de segurança identificaram um novo ataque cibernético usando um Trojan de acesso remoto (RAT) baseado em Python em agosto de 2022. De acordo com a Securonix, o malware, conhecido como PY#RATION, é exclusivo com o uso de WebSockets para comunicação de comando e controle e exfiltração de dados.

Os e-mails de phishing usados para este ataque contêm arquivos ZIP que contêm dois arquivos .LNK disfarçados de imagens de carteira de motorista do Reino Unido. Quando cada um dos links é aberto, dois arquivos de texto são baixados de um servidor remoto e renomeados como arquivos .BAT durante a execução em segundo plano enquanto exibem uma imagem falsa.

Além disso, outro script em lote é recuperado de um servidor C2 para baixar cargas adicionais, como CortanaAssistance.exe, que é usado para tentar disfarçar o malware como um arquivo de sistema. Duas versões deste trojan foram identificadas (1.0 e 1.6) com quase 1.000 linhas de código adicionadas na versão mais recente para oferecer suporte a recursos de varredura de rede e criptografia usando o módulo Fernet. Os recursos incluem transferência de arquivos, gravação de teclas digitadas, execução de comandos do sistema, extração de senhas/cookies de navegadores da web, captura de dados da área de transferência e verificação da presença de software antivírus.

Isso também serve como um caminho para a implantação de malware adicional, como um ladrão de informações projetado para adquirir informações de navegadores da Web e carteiras de criptomoedas. Embora a origem do agente da ameaça permaneça desconhecida, acredita-se que os alvos pretendidos possam estar localizados no Reino Unido ou na América do Norte, a julgar pelas iscas de phishing.

O que são backdoors que malwares como o PY#RATION usam para comprometer um sistema?

Backdoors são programas maliciosos que permitem que invasores obtenham acesso a um sistema sem o conhecimento ou permissão do usuário. Malware como PY#RATION normalmente usa backdoors para comprometer um sistema explorando vulnerabilidades no sistema operacional, aplicativos ou protocolos de rede.

As técnicas comuns de backdoor incluem o uso de ferramentas de acesso remoto, como o Remote Desktop Protocol (RDP), a criação de contas ocultas com privilégios administrativos e o uso de scripts maliciosos para executar comandos na máquina de destino. Backdoors também podem ser usados para contornar os mecanismos de autenticação e obter acesso a dados confidenciais. Além disso, backdoors podem ser usados para instalar malware adicional no sistema comprometido, permitindo que os invasores expandam ainda mais seu controle sobre a máquina da vítima.

Por que o trojan de acesso remoto como o PY#RATION é um grande problema de segurança para qualquer vítima?

Cavalos de Troia de acesso remoto como o PY#RATION são um grande problema de segurança para qualquer vítima porque permitem que invasores obtenham acesso a um sistema sem o conhecimento ou permissão do usuário. Esse tipo de malware pode explorar vulnerabilidades no sistema operacional, aplicativos ou protocolos de rede para contornar os mecanismos de autenticação e obter acesso a dados confidenciais.

Além disso, backdoors podem ser usados para instalar malware adicional no sistema comprometido, permitindo que os invasores expandam ainda mais seu controle sobre a máquina da vítima. Isso significa que um invasor pode ter controle total sobre o computador da vítima, incluindo o acesso a informações pessoais, como senhas e dados financeiros. Além disso, os trojans de acesso remoto podem ser usados para lançar ataques distribuídos de negação de serviço (DDoS) contra outros sistemas ou redes, tornando-os ainda mais perigosos.

Como tal, é importante que os usuários tomem medidas para se proteger desses tipos de ameaças usando senhas fortes e mantendo seus sistemas atualizados com os patches de segurança mais recentes.