Remises multi-licences
Threat Database Remote Administration Tools RAT daltonien

RAT daltonien

Par Mezo en Remote Administration Tools, Malware
Se traduisent par :
Français

Les chercheurs en cybersécurité ont découvert un package Python menaçant chargé dans le Python Package Index (PyPI), contenant un voleur d'informations nuisible et un cheval de Troie d'accès à distance (RAT). Le package a été nommé « colourfool » et a été identifié par une équipe de recherche en sécurité, qui a nommé la menace malveillante elle-même « Colour-Blind ».

Cet incident met en évidence la tendance croissante de la cybercriminalité démocratisée, où des acteurs mal intentionnés peuvent facilement accéder au code existant et le réutiliser pour leurs propres intentions. Les chercheurs ont expliqué que la démocratisation de la criminalité en ligne pourrait conduire à une intensification du paysage des menaces, car les attaquants peuvent créer plusieurs variantes de leurs logiciels malveillants en exploitant le code provenant d'autres.

Comme d'autres modules Python malveillants récents, Colour-Blind utilise une technique pour dissimuler son mauvais code dans le script d'installation. Le script de configuration pointe ensuite vers une charge utile d'archive ZIP hébergée sur la plate-forme Discord légitime. Cela permet au logiciel malveillant d'échapper à la détection par certaines mesures de sécurité traditionnelles, ce qui le rend plus difficile à détecter et à supprimer.

Le RAT daltonien porte le code du jeu "Snake"

Le logiciel malveillant utilise un mécanisme de persistance qui consiste à ajouter un script Visual Basic (VB) nommé "Essentials. vbs" dans le dossier "Démarrage" du "Menu Démarrer" de l'utilisateur. Lors de la connexion, le script VB exécute un fichier de commandes Windows que le logiciel malveillant injecte dans le même dossier que "python.exe". Ce fichier de commandes démarre le logiciel malveillant à l'aide de Python chaque fois que l'utilisateur se connecte, garantissant que le logiciel malveillant reste actif et présent sur le système.

Le malware dispose d'une fonction d'exfiltration de fichiers qui exploite « transfer[.]sh », un site Web de transfert de fichiers anonyme de plus en plus populaire parmi les acteurs de la menace. Le logiciel malveillant contient également du code lié à l'ingénierie sociale, qui génère un message d'erreur qui tente de persuader l'utilisateur de réexécuter le logiciel malveillant en tant qu'administrateur. De plus, le logiciel malveillant contient une version intégrée du jeu "Snake" qui semble être une copie directe du code d'un référentiel GitHub. Cependant, ce jeu n'a aucun but apparent et ne démarre pas lorsqu'il est exécuté.

Le malware déclenche plusieurs sous-processus, qui incluent des threads pour collecter des cookies, des mots de passe et des portefeuilles de crypto-monnaie. Pour activer le contrôle à distance, le logiciel malveillant démarre une application Web Flask. La menace rend ensuite l'application accessible à Internet via l'utilitaire de tunnel inverse de Cloudflare nommé « cloudflared ». En utilisant cette méthode, le logiciel malveillant peut contourner toutes les règles de pare-feu entrantes et maintenir une présence persistante sur le système compromis.

Le vaste ensemble de capacités menaçantes du RAT daltonien

Le Colour-BLind RAT et ses différentes fonctionnalités nuisibles peuvent être contrôlées via l'application Web. La fonction de jetons peut vider les jetons de connexion pour plusieurs applications qui utilisent le chrome via electron.io ou le chrome directement comme cadre d'application, qui inclut Discord. La fonction de mots de passe renvoie à l'écran les mots de passe extraits des navigateurs Web, tandis que la fonction de cookies renvoie tous les cookies du navigateur à l'écran. La fonction des touches transfère les données capturées aux enregistreurs de frappe et les affiche à l'écran.

Parmi les capacités du RAT se trouve également la fonction d'applications, qui fournit une liste des applications actuellement actives et un bouton pour les terminer. La fonction de vidage des données envoie toutes les données capturées à l'URL C2. La fonction d'écran affiche une capture d'écran du bureau de l'utilisateur et permet une interaction rudimentaire, telle que la pression de touches. La menace peut également rechercher des informations IP et les afficher à l'écran à l'aide d'une fonction différente. Il peut ouvrir un navigateur sur une page Web donnée et exécuter des commandes via le système d'exploitation. Les informations sur le portefeuille de crypto-monnaie peuvent être collectées à partir de l'appareil piraté via la fonction fantôme/Metamask.

Cependant, le Colour-Blind RAT peut effectuer encore plus d'actions sur les systèmes infectés, comme utiliser le point de terminaison /camera pour espionner un utilisateur sans méfiance via une caméra Web. Il existe également divers points de terminaison commençant par "hvnc", qui traitent d'un bureau caché créé sur la machine de la victime. La fonction /hvncmanager permet de lancer un navigateur Web sur ce bureau caché. La fonction /hvnc est utilisée pour ouvrir le bureau caché et permet aux pirates d'interagir avec lui. La possibilité d'ouvrir un navigateur Web de manière aussi cachée peut être exploitée par les acteurs de la menace pour accéder ou interagir avec les comptes Internet de la victime. La fonction /hvncitem permet aux attaquants d'exécuter des commandes personnalisées sur le bureau caché via la manipulation du paramètre d'URL "start".

Tendance

Le plus regardé

Chargement...