Zuhause > Cyber ​​Aktuelles > PyXie RAT kann Passwörter stehlen, Nimm ein Video auf und holen Sie Ransomware
CYBER NEWS

Pyxie RAT Kann Passwörter stehlen, Nimm ein Video auf und holen Sie Ransomware

Ein neuer Python RAT (Remote Access Trojan) nur wurde von Sicherheitsexperten entdeckt. genannt pyxie, der Trojaner wurde in freier Natur beobachtet seit 2018, oder vielleicht sogar noch früher, wurde aber tief bisher nicht analysiert.




pyxie RAT: technischer Überblick

Nach Blackberry Cylance Forscher, Pyxie wird in Angriffe auf mehrere Branchen eingesetzt. Die Analyse zeigt, dass die Malware in Verbindung bereitgestellt wurde mit Cobalt Streik und ein Downloader ähnlich wie Shifu.

Das Forscherteam konnte mehr Incident-Response-Verpflichtungen erfüllen, in der die Ratte auf infizierte Hosts identifiziert wurde. Dank dieser Informationen, die Forscher skizzierte die Malware die „Schlüssel-Höhepunkte“In Kampagnen gesehen:

  • Legitime LogMeIn und Google Binärdateien Sideload-Nutzlasten.
  • Ein trojanisiert Tetris App Cobalt Streik stagers von internen Netzwerkfreigaben zu laden und auszuführen.
  • Verwenden eines Downloader mit Ähnlichkeiten zu Shifu benannt “Cobalt-Modus”.
  • Die Verwendung von Sharphound zu Active Directory-Informationen von Opfern zu sammeln.
  • Ein benutzerdefinierter kompilierten Python-Interpreter, dass Anwendungen verschlüsselten Opcodes hinder Analyse.
  • Verwendung eines modifizierten RC4-Algorithmus zur Verschlüsselung von Nutzdaten mit einem eindeutigen Schlüssel pro infizierten Wirt.

pyxie RAT: Vertrieb

Die Ratte wird mit Hilfe eines sideloading Technik verwendet legitime Anwendungen verteilt. Ein Beispiel für eine solche Anwendung ist eine trojanisiert Version eines Open-Source-Tetris-Spiel. Wenn die potenziellen Opfer laden das Spiel, sie werden auch die böswillige Nutzlast herunterladen, ohne zu wissen,. Die Malware-Anwendungen Powershell Privilegien zu eskalieren und erreichen Persistenz auf dem infizierten Wirt.

Wie bereits erwähnt, Pyxie verwendet Cobalt-Modus um eine Verbindung zu einem Befehl und Steuerserver die endgültige Nutzlast des Betriebes zum Herunterladen.

Wie in dem Bericht erklärt, Der Hauptzweck des Cobalt-Modus umfasst mehrere Phasen, wie beispielsweise an den Befehls- und Steuerserver Verbindungs, Downloding einen verschlüsselten Nutzlast und Entschlüsseln, Kartierung und die Nutzlast in dem Adressraum des aktuellen Prozesses ausgeführt werden, und Laichen ein neues Verfahren für die Code-Injektion.

verbunden: CStealer Trojan Steals Passwörter von Chrome, Sendet sie an Remote-Datenbank

Es ist bemerkenswert, dass der Cobalt-Modus eine Reihe von Umweltprüfungen durchführen kann, um zu bestimmen, ob es das ausgeführt wird von einer Sandbox oder die virtuellen Maschine ist (VM). Es kann auch bestimmen, ob ein Chipkartenleser angebracht ist, und ob Anfragen werden mit einem Man-in-the-Middle-abgefangenen (MitM) Angriff.

Wie für die letzte Stufe Nutzlast, es ist "ein voll funktionsfähiges Python RAT in eine ausführbare Datei kompiliert". Die Autoren des bösartigen Code ihrer eigenen Python-Interpreter kompiliert statt mit py2exe oder PyInstaller die ausführbare Datei erstellen.

Schließlich, die Fähigkeiten von pyxie RAT umfassen Man-in-the-Middle-Interception, Web-Injektionen, Keylogging-Funktionen, Credential-Ernte, Scannen im Netzwerk, Cookie-Diebstahl, Clearing-Protokolle, Aufnahme Video, laufen beliebige Nutzlasten, Überwachung USB-Laufwerke und exfiltrating Daten, WebDav-Server und Proxy Socks5, VNC-Verbindung, Zertifikat Diebstahl, Überprüfungs-Software, und Aufzählen der Domäne mit Sharphound.

Pyxie RAT Gebrauchte Auch in Ransomware-Kampagnen

Die Forscher haben auch gesehen, Beweise für pyxie wird in mehreren Ransomware-Attacken. In diesem Fall, der Lader ist ein trojanisiert Open-Source-Tetris-Spiel, die Lasten eine verschlüsselte Nutzlast Shellcode bekannt als settings.dat von einem internen Netzwerkfreigabe.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau