Цветовая слепота RAT пробивается на PyPI

Пакет Python под названием «colorfool», который был загружен в PyPI, содержит вредоносный похититель информации и троян удаленного доступа.

Команда Kroll Cyber Threat Intelligence идентифицировала вредоносное ПО, которое они назвали «Colour-Blind». Вредоносные модули Python, такие как colorfool, скрывают свой вредоносный код в скрипте установки, а вредоносное ПО устанавливает сохранение через скрипт Visual Basic, используя transfer[.]sh для кражи данных. Троянец способен собирать пароли, делать снимки экрана, регистрировать нажатия клавиш, открывать произвольные веб-страницы, выполнять команды, захватывать данные криптокошелька и даже шпионить за жертвами через их веб-камеры.

Вредоносное ПО также предназначено для того, чтобы избежать обнаружения, проверяя выполнение песочницы и настраивая веб-приложение Flask для удаленного управления, которое оно делает доступным через утилиту обратного туннеля Cloudflare «cloudflared». Исследователи отметили сходство между этой кампанией и кампанией, раскрытой Phylum в прошлом месяце, когда шесть мошеннических пакетов использовались для распространения стилера и RAT под названием poweRAT, который также использовал Flask и Cloudflare для удаленного управления.

Исследователи считают, что это сходство указывает на то, что разные субъекты угроз обмениваются идеями, ресурсами или кодом, а не на эволюцию кодовой базы, разрабатываемой одним субъектом.

Что такое троян удаленного доступа?

Троян удаленного доступа (RAT) — это тип вредоносного ПО, которое предоставляет злоумышленнику несанкционированный доступ к компьютерной системе жертвы. Затем злоумышленник может удаленно управлять скомпрометированной системой, что позволяет ему украсть конфиденциальные данные, установить другое вредоносное программное обеспечение и выполнить другие гнусные действия. RAT обычно доставляются с помощью фишинговых писем, социальной инженерии или других типов атак социальной инженерии. После установки они создают бэкдор в системе, позволяя злоумышленнику удаленно получить доступ к компьютеру жертвы и управлять им. RAT часто используются в целевых атаках против отдельных лиц, организаций и правительств, и их бывает очень трудно обнаружить и удалить.

Как вы можете защитить свою систему от вредоносных программ, подобных дальтоникам RAT?

Есть несколько шагов, которые вы можете предпринять, чтобы защитить свою систему от вредоносного ПО, подобного Colour-Blind RAT:

• Поддерживайте свою систему и программное обеспечение в актуальном состоянии с помощью последних исправлений и обновлений безопасности.
• Используйте антивирусное программное обеспечение и регулярно обновляйте его.
• Будьте осторожны при загрузке и установке программного обеспечения, особенно из ненадежных источников.
• Используйте надежный репозиторий программного обеспечения, такой как PyPI, и внимательно изучите детали любого пакета, который вы планируете установить.
• Используйте брандмауэр, чтобы заблокировать входящий трафик и ограничить исходящий трафик только важными приложениями.
• Регулярно выполняйте резервное копирование важных данных на внешнее устройство или в облачное хранилище.