色盲 RAT 爬上 PyPI
已发现上传到 PyPI 的名为“colourfool”的 Python 包包含恶意信息窃取程序和远程访问木马。
Kroll 的网络威胁情报团队确定了该恶意软件,他们将其称为“色盲”。像 colourfool 这样的恶意 Python 模块在安装脚本中隐藏了它们的有害代码,恶意软件通过 Visual Basic 脚本建立持久性,同时使用 transfer[.]sh 进行数据泄露。该木马能够收集密码、截取屏幕截图、记录击键、打开任意网页、执行命令、捕获加密钱包数据,甚至通过网络摄像头监视受害者。
该恶意软件还旨在通过检查沙箱执行和设置用于远程控制的 Flask Web 应用程序来逃避检测,它可以通过 Cloudflare 的反向隧道实用程序“cloudflared”访问。研究人员注意到该活动与 Phylum 上个月披露的活动有相似之处,在该活动中,六个欺诈包被用于分发名为 poweRAT 的窃取器兼 RAT,它还使用 Flask 和 Cloudflare 进行远程控制。
研究人员认为,这些相似之处表明不同的威胁行为者正在共享想法、资源或代码,而不是由单个行为者开发的代码库的演变。
什么是远程访问木马?
远程访问特洛伊木马 (RAT) 是一种恶意软件,可让攻击者未经授权访问受害者的计算机系统。然后攻击者可以远程控制受感染的系统,使他们能够窃取敏感数据、安装其他恶意软件并执行其他恶意活动。 RAT 通常通过网络钓鱼电子邮件、社会工程或其他类型的社会工程攻击来传播。安装后,它们会在系统中建立一个后门,允许攻击者远程访问和控制受害者的计算机。 RAT 通常用于针对个人、组织和政府的有针对性的攻击,它们很难检测和删除。
如何保护您的系统免受类似于色盲 RAT 的恶意软件的侵害?
您可以采取几个步骤来保护您的系统免受类似于 Colour-Blind RAT 的恶意软件的侵害:
- 使用最新的安全补丁和更新使您的系统和软件保持最新状态。
- 使用防病毒软件并定期更新。
- 下载和安装软件时要小心,尤其是来自不受信任来源的软件。
- 使用信誉良好的软件存储库,例如 PyPI,并仔细检查您计划安装的任何软件包的详细信息。
- 使用防火墙来阻止传入流量并将传出流量限制为仅用于必要的应用程序。
- 定期将重要数据备份到外部设备或基于云的存储服务。