PY#RATION RAT использует уникальный подход C2

Исследователи безопасности выявили новую кибератаку с использованием трояна удаленного доступа (RAT) на основе Python еще в августе 2022 года. По данным Securonix, вредоносное ПО, именуемое PY#RATION, уникально тем, что использует веб-сокеты для управления и контроля связи. и эксфильтрация данных.

Фишинговые электронные письма, используемые для этой атаки, содержат ZIP-архивы, содержащие два файла .LNK, замаскированные под образы водительских прав Великобритании. При открытии каждой из ссылок два текстовых файла загружаются с удаленного сервера и переименовываются в файлы .BAT при выполнении в фоновом режиме с отображением поддельного изображения.

Кроме того, с сервера C2 извлекается еще один пакетный сценарий для загрузки дополнительных полезных нагрузок, таких как CortanaAssistance.exe, который используется для маскировки вредоносного ПО под системный файл. Были идентифицированы две версии этого троянца (1.0 и 1.6) с почти 1000 строками кода, добавленными в более новой версии для поддержки функций сетевого сканирования и шифрования с использованием модуля Fernet. Возможности включают передачу файлов, запись нажатий клавиш, выполнение системных команд, извлечение паролей / файлов cookie из веб-браузеров, захват данных буфера обмена и проверку наличия антивирусного программного обеспечения.

Это также служит путем для развертывания дополнительных вредоносных программ, таких как программа для кражи информации, предназначенная для получения информации из веб-браузеров и криптовалютных кошельков. Хотя происхождение злоумышленника остается неизвестным, предполагается, что предполагаемые цели могут находиться в Великобритании или Северной Америке, судя по фишинговым приманкам.

Какие бэкдоры такие вредоносные программы, как PY#RATION, используют для компрометации системы?

Бэкдоры — это вредоносные программы, которые позволяют злоумышленникам получить доступ к системе без ведома или разрешения пользователя. Вредоносное ПО, такое как PY#RATION, обычно использует бэкдоры для компрометации системы, используя уязвимости в операционной системе, приложениях или сетевых протоколах.

Общие методы бэкдора включают использование инструментов удаленного доступа, таких как протокол удаленного рабочего стола (RDP), создание скрытых учетных записей с административными привилегиями и использование вредоносных сценариев для выполнения команд на целевой машине. Бэкдоры также могут использоваться для обхода механизмов аутентификации и получения доступа к конфиденциальным данным. Кроме того, бэкдоры могут использоваться для установки дополнительных вредоносных программ на скомпрометированную систему, что позволяет злоумышленникам еще больше расширить свой контроль над машиной жертвы.

Почему трояны удаленного доступа, такие как PY#RATION, являются серьезной проблемой безопасности для любой жертвы?

Трояны удаленного доступа, такие как PY#RATION, представляют собой серьезную проблему безопасности для любой жертвы, поскольку они позволяют злоумышленникам получить доступ к системе без ведома или разрешения пользователя. Этот тип вредоносного ПО может использовать уязвимости в операционной системе, приложениях или сетевых протоколах для обхода механизмов аутентификации и получения доступа к конфиденциальным данным.

Кроме того, бэкдоры могут использоваться для установки дополнительных вредоносных программ на скомпрометированную систему, что позволяет злоумышленникам еще больше расширить свой контроль над машиной жертвы. Это означает, что злоумышленник потенциально может получить полный контроль над компьютером жертвы, включая доступ к личной информации, такой как пароли и финансовые данные. Кроме того, трояны удаленного доступа могут использоваться для запуска распределенных атак типа «отказ в обслуживании» (DDoS) против других систем или сетей, что делает их еще более опасными.

Таким образом, важно, чтобы пользователи предприняли шаги, чтобы защитить себя от этих типов угроз, используя надежные пароли и обновляя свои системы с помощью последних исправлений безопасности.