PY#RATION RAT använder unik C2-metod

Säkerhetsforskare har identifierat en ny cyberattack med en Python-baserad Remote Access Trojan (RAT) redan i augusti 2022. Enligt Securonix är skadlig programvara, kallad PY#RATION, unik med sin användning av WebSockets för kommando- och kontrollkommunikation och dataexfiltrering.

Nätfiske-e-postmeddelandena som används för denna attack innehåller ZIP-arkiv som innehåller två .LNK-filer som är förklädda till brittiska körkortsbilder. När var och en av länkarna öppnas laddas två textfiler ner från en fjärrserver och döps om till .BAT-filer medan de körs i bakgrunden samtidigt som en falsk bild visas.

Dessutom hämtas ett annat batchskript från en C2-server för att ladda ner ytterligare nyttolaster som CortanaAssistance.exe som används för att försöka dölja skadlig programvara som en systemfil. Två versioner av denna trojan har identifierats (1.0 och 1.6) med nästan 1000 rader kod lagt till i den nyare versionen för att stödja nätverksskanningsfunktioner och kryptering med Fernet-modulen. Möjligheterna inkluderar att överföra filer, spela in tangenttryckningar, köra systemkommandon, extrahera lösenord/cookies från webbläsare, fånga urklippsdata och kontrollera om det finns antivirusprogram.

Detta fungerar också som en väg för att distribuera ytterligare skadlig programvara, såsom en info-stjälare utformad för att hämta information från webbläsare och kryptovaluta plånböcker. Även om ursprunget till hotaktören fortfarande är okänd, tros det att de avsedda målen kan finnas i Storbritannien eller Nordamerika, att döma av nätfiskebetena.

Vad är bakdörrar som skadlig programvara som PY#RATION använder för att äventyra ett system?

Bakdörrar är skadliga program som tillåter angripare att få tillgång till ett system utan användarens vetskap eller tillåtelse. Skadlig programvara som PY#RATION använder vanligtvis bakdörrar för att äventyra ett system genom att utnyttja sårbarheter i operativsystemet, applikationerna eller nätverksprotokollen.

Vanliga bakdörrstekniker inkluderar att använda fjärråtkomstverktyg som Remote Desktop Protocol (RDP), skapa dolda konton med administrativa privilegier och använda skadliga skript för att köra kommandon på måldatorn. Bakdörrar kan också användas för att kringgå autentiseringsmekanismer och få tillgång till känslig data. Dessutom kan bakdörrar användas för att installera ytterligare skadlig programvara på det komprometterade systemet, vilket gör att angripare kan utöka sin kontroll över offrets dator ytterligare.

Varför är fjärråtkomsttrojaner som PY#RATION ett stort säkerhetsproblem för alla offer?

Fjärråtkomsttrojaner som PY#RATION är ett stort säkerhetsproblem för alla offer eftersom de tillåter angripare att få tillgång till ett system utan användarens vetskap eller tillåtelse. Den här typen av skadlig programvara kan utnyttja sårbarheter i operativsystem, applikationer eller nätverksprotokoll för att kringgå autentiseringsmekanismer och få tillgång till känslig data.

Dessutom kan bakdörrar användas för att installera ytterligare skadlig programvara på det komprometterade systemet, vilket gör att angripare kan utöka sin kontroll över offrets dator ytterligare. Detta innebär att en angripare potentiellt kan ha fullständig kontroll över ett offers dator, inklusive tillgång till personlig information som lösenord och ekonomiska data. Dessutom kan fjärråtkomsttrojaner användas för att starta DDoS-attacker (distributed denial-of-service) mot andra system eller nätverk, vilket gör dem ännu farligare.

Som sådan är det viktigt för användare att vidta åtgärder för att skydda sig mot dessa typer av hot genom att använda starka lösenord och hålla sina system uppdaterade med de senaste säkerhetskorrigeringarna.