色盲 RAT 爬上 PyPI
已發現上傳到 PyPI 的名為“colourfool”的 Python 包包含惡意信息竊取程序和遠程訪問木馬。
Kroll 的網絡威脅情報團隊確定了該惡意軟件,他們將其稱為“色盲”。像 colourfool 這樣的惡意 Python 模塊在安裝腳本中隱藏了它們的有害代碼,惡意軟件通過 Visual Basic 腳本建立持久性,同時使用 transfer[.]sh 進行數據洩露。該木馬能夠收集密碼、截取屏幕截圖、記錄擊鍵、打開任意網頁、執行命令、捕獲加密錢包數據,甚至通過網絡攝像頭監視受害者。
該惡意軟件還旨在通過檢查沙箱執行和設置用於遠程控制的 Flask Web 應用程序來逃避檢測,它可以通過 Cloudflare 的反向隧道實用程序“cloudflared”訪問。研究人員注意到該活動與 Phylum 上個月披露的活動有相似之處,在該活動中,六個欺詐包被用於分發名為 poweRAT 的竊取器兼 RAT,它還使用 Flask 和 Cloudflare 進行遠程控制。
研究人員認為,這些相似之處表明不同的威脅行為者正在共享想法、資源或代碼,而不是由單個行為者開發的代碼庫的演變。
什麼是遠程訪問木馬?
遠程訪問特洛伊木馬 (RAT) 是一種惡意軟件,可讓攻擊者未經授權訪問受害者的計算機系統。然後攻擊者可以遠程控制受感染的系統,使他們能夠竊取敏感數據、安裝其他惡意軟件並執行其他惡意活動。 RAT 通常通過網絡釣魚電子郵件、社會工程或其他類型的社會工程攻擊來傳播。安裝後,它們會在系統中建立一個後門,允許攻擊者遠程訪問和控制受害者的計算機。 RAT 通常用於針對個人、組織和政府的有針對性的攻擊,它們很難檢測和刪除。
如何保護您的系統免受類似於色盲 RAT 的惡意軟件的侵害?
您可以採取幾個步驟來保護您的系統免受類似於 Colour-Blind RAT 的惡意軟件的侵害:
- 使用最新的安全補丁和更新使您的系統和軟件保持最新狀態。
- 使用防病毒軟件並定期更新。
- 下載和安裝軟件時要小心,尤其是來自不受信任來源的軟件。
- 使用信譽良好的軟件存儲庫,例如 PyPI,並仔細檢查您計劃安裝的任何軟件包的詳細信息。
- 使用防火牆來阻止傳入流量並將傳出流量限制為僅用於必要的應用程序。
- 定期將重要數據備份到外部設備或基於雲的存儲服務。