PY#RATION RAT

Une nouvelle campagne d'attaque a été prise dans la nature. L'opération menaçante utilise un nouveau logiciel malveillant basé sur Python appelé PY#RATION RAT. Comme c'est généralement le cas avec ces chevaux de Troie d'accès à distance (RAT), PY#RATION dispose d'un ensemble complet de fonctionnalités nuisibles, notamment l'exfiltration de données et l'enregistrement de frappe. Ce qui rend cette menace particulièrement unique, c'est son utilisation de WebSockets pour la communication et l'exfiltration Command-and-Control (C2, C&C), ainsi que sa capacité à échapper à la détection des solutions anti-malware et des mesures de sécurité réseau.

Les détails sur le PY#RATION RAT ont été révélés dans un rapport de chercheurs en cybersécurité. Selon leurs conclusions, les cybercriminels à l'origine de la menace se concentrent principalement sur des cibles au Royaume-Uni ou en Amérique du Nord, à en juger par les leurres de phishing utilisés dans le cadre de l'attaque.

La chaîne d'attaque de PY#RATION

L'attaque commence par un e-mail de phishing trompeur contenant une archive ZIP. À l'intérieur de l'archive se trouvent deux fichiers de raccourcis (.LNK), se faisant passer pour les images recto et verso d'un soi-disant permis de conduire britannique authentique. Lors de l'ouverture de chacun de ces fichiers .LNK, deux fichiers texte sont récupérés à partir d'un serveur distant, puis enregistrés en tant que fichiers .BAT.

Pendant que la victime voit les images leurres, les fichiers nuisibles sont exécutés silencieusement en arrière-plan du système. De plus, un autre script batch est téléchargé à partir du serveur C2 qui obtient d'autres charges utiles, y compris un binaire Python nommé « CortanaAssistance.exe ». L'utilisation de Cortana, l'assistant virtuel de Microsoft, implique que les attaquants ont peut-être tenté de déguiser leur code corrompu en un fichier système légitime.

Capacités blessantes de PY#RATION RAT

Deux versions du cheval de Troie PY#RATION ont été détectées (version 1.0 et 1.6). La nouvelle version comprend près de 1 000 lignes de code supplémentaires, qui ajoutent des fonctionnalités d'analyse du réseau pour examiner les réseaux compromis et une couche de cryptage sur le code Python à l'aide du module fernet. De plus, la menace peut transférer des fichiers de l'hôte piraté vers son serveur C2 et inversement.

Le RAT peut commencer à enregistrer les frappes au clavier, exécuter les commandes du système, extraire les mots de passe et les cookies des navigateurs Web, capturer les données du presse-papiers et détecter la présence de logiciels de sécurité. Les acteurs de la menace peuvent utiliser PY#RATION comme passerelle pour déployer les charges utiles d'autres menaces, comme un autre voleur d'informations basé sur Python créé explicitement pour récolter des données à partir de navigateurs Web et de portefeuilles de crypto-monnaie.

Tendance

Le plus regardé

Chargement...