Hjem > Cyber ​​Nyheder > PyXie RAT kan stjæle adgangskoder, Optag video og få dig Ransomware
CYBER NEWS

PyXie RAT kan stjæle adgangskoder, Optag video og få dig Ransomware

En ny Python RAT (Remote Access Trojan) var bare afsløret ved sikkerhedseksperter. kaldet PyXie, den trojanske er blevet observeret i naturen siden 2018, eller måske endnu tidligere, men er ikke blevet analyseret dybt indtil nu.




Pyxie RAT: Teknisk oversigt

Ifølge BlackBerry Cylance forskere, PyXie bliver brugt i angreb på flere brancher. Analysen viser, at malware er blevet indsat i forbindelse med Cobalt Strike og en downloader ligner Shifu.

Forskerholdet var i stand til at udføre flere incident response træfninger, hvor RAT blev identificeret på inficerede værter. Takket være disse oplysninger, forskerne skitserede malware er ”centrale højdepunkter”Set i kampagner:

  • Legitime LogMeIn og Google binære filer, der anvendes til sideloade nyttelast.
  • En Trojanized Tetris app til at indlæse og udføre Cobalt Strike stagers fra interne netværk aktier.
  • Anvendelse af en downloader med ligheder til Shifu navngivne “Cobalt-tilstand”.
  • Anvendelse af Sharphound at indsamle Active Directory oplysninger fra ofrene.
  • En brugerdefineret kompileret Python-fortolker, der bruger scrambled opkoder at hindre analyse.
  • Anvendelse af en modificeret RC4-algoritme til at kryptere nyttelast med en unik nøgle per inficerede vært.

PyXie RAT: Distribution

Rotten er fordelt ved hjælp af en sideloading teknik udnytter legitime applikationer. Et eksempel på en sådan app er en trojanized version af en open-source Tetris spil. Hvis det potentielle offer downloader spillet, de vil også hente den ondsindede nyttelast uden at vide. De malware anvendelser PowerShell at eskalere privilegier og opnå vedholdenhed på den inficerede vært.

Som allerede nævnt, PyXie bruger Cobalt-tilstand til at forbinde til en kommando og kontrol-server for at downloade den endelige nyttelast af operationen.

Som forklaret i rapporten, hovedformålet med Cobalt tilstand omfatter flere faser, såsom tilslutning til kommando og kontrol-server, downloding en krypteret nyttelast og dekryptering af det, kortlægning og udførelse nyttelasten i adresserummet i den igangværende, og gydning en ny proces for koden injektion.

Relaterede: CStealer trojanske stjæler passwords fra Chrome, Sender dem til ekstern database

Det er bemærkelsesværdigt, at den Cobalt-tilstand kan gennemføre en række miljømæssige kontrol for at afgøre, om det er at blive kørt fra en sandkasse eller virtuel maskine (VM). Det kan også afgøre, om et smart card-læser er vedhæftet, og hvorvidt anmodninger bliver opfanget med en man-in-the-middle (MITM) angreb.

Som for den afsluttende fase nyttelast, det er "en fuldt udstyret Python RAT kompileret ind i en eksekverbar". Forfatterne af skadelig kode kompileret deres egen Python-fortolker stedet for at bruge Py2Exe eller PyInstaller at skabe den eksekverbare.

Endelig, funktionerne i PyXie RAT inkluderer man-in-the-middle-aflytning, web injektioner, keylogging funktionaliteter, legitimationsoplysninger høst, scanning netværk, cookie tyveri, clearing logs, optagelse video, kører vilkårlige nyttelast, overvågning USB-drev og exfiltrating data, WebDAV-server og Socks5 proxy, VNC-forbindelse, certifikat tyveri, kontrol-software, og optælle domænet med Sharphound.

PyXie RAT også i ransomware kampagner

Forskerne har også set beviser på PyXie bliver brugt i flere ransomware-angreb. I dette tilfælde, læsseren er en trojanized open source Tetris spil, hvilke belastninger en krypteret shellcode nyttelast kendt som settings.dat fra et internt netværksshare.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...