PY#RATION: Novo RAT baseado em Python usa WebSocket para C2 e exfiltração de dados

“Este malware é único em sua utilização de WebSockets para evitar a detecção e para comunicação de comando e controle (C2) e exfiltração”, disse a Securonix em um relatório compartilhado com o The Hacker News.

O malware, apelidado de PY#RATION pela empresa de segurança cibernética, vem com uma série de recursos que permitem que o agente da ameaça colete informações confidenciais. Versões posteriores do backdoor também apresentam técnicas anti-evasão, sugerindo que ele está sendo desenvolvido e mantido ativamente.

O ataque começa com um e-mail de phishing contendo um arquivo ZIP, que, por sua vez, abriga dois arquivos de atalho (.LNK) que se disfarçam como imagens da frente e do verso de uma carteira de motorista aparentemente legítima do Reino Unido.

A abertura de cada um dos arquivos .LNK recupera dois arquivos de texto de um servidor remoto que são posteriormente renomeados para arquivos .BAT e executados furtivamente em segundo plano, enquanto a imagem isca é exibida para a vítima.

Também baixado de um servidor C2 está outro script em lote projetado para recuperar cargas úteis adicionais do servidor, incluindo o binário Python (“CortanaAssistance.exe”). A escolha pelo uso da Cortana, assistente virtual da Microsoft, indica uma tentativa de passar o malware por um arquivo de sistema.

Duas versões do trojan foram detectadas (versão 1.0 e 1.6), com quase 1.000 linhas de código adicionadas à variante mais recente para oferecer suporte a recursos de varredura de rede para conduzir um reconhecimento da rede comprometida e ocultar o código Python por trás de uma camada de criptografia usando o módulo fernet .

Outras funcionalidades dignas de nota incluem a capacidade de transferir arquivos do host para C2 ou vice-versa, gravar pressionamentos de tecla, executar comandos do sistema, extrair senhas e cookies de navegadores da Web, capturar dados da área de transferência e verificar a presença de software antivírus.

Além disso, o PY#RATION funciona como um caminho para a implantação de mais malware, que consiste em outro ladrão de informações baseado em Python projetado para desviar dados de navegadores da Web e carteiras de criptomoedas.

As origens do agente da ameaça permanecem desconhecidas, mas a natureza das iscas de phishing indica que os alvos pretendidos provavelmente podem ser o Reino Unido ou a América do Norte.

“O malware PY#RATION não é apenas relativamente difícil de detectar, o fato de ser um binário compilado em Python o torna extremamente flexível, pois ele será executado em quase qualquer destino, incluindo Windows, OSX e variantes do Linux”, pesquisadores Den Iuzvyk, Tim Peck e Oleg Kolesnikov disseram.

“O fato de que os agentes de ameaças aproveitaram uma camada de criptografia fernet para ocultar a fonte original aumenta a dificuldade de detectar sequências maliciosas conhecidas”.

Fonte: https://thehackernews.com/