Casa > Ciber Noticias > PyXie RAT puede robar contraseñas, Grabar vídeo y conseguir que ransomware
CYBER NOTICIAS

Pyxie rata puede robar contraseñas, Grabar vídeo y conseguir que ransomware

Un nuevo RAT Python (Remote Access Trojan) fue simplemente descubierto por los investigadores de seguridad. llamado pyxie, el troyano se ha observado en la naturaleza, ya 2018, o tal vez incluso antes, pero no se ha analizado profundamente hasta ahora.




pyxie RAT: Resumen técnico

Según los investigadores BlackBerry Cylance, Pyxie está siendo utilizado en ataques contra varias industrias. Los análisis muestra que el malware se ha desplegado en combinación con huelga de cobalto y un descargador para semejante Shifu.

El equipo de investigación fue capaz de realizar múltiples compromisos de respuesta a incidentes en los que se identificó la RAT en los huéspedes infectados. Gracias a esta información, los investigadores describen la década de malware “Puntos clave”Que se ve en las campañas:

  • LogMeIn legítimos binarios y Google se utilizan para cargas útiles de carga lateral.
  • Una aplicación troyanizado Tetris cargar y ejecutar teatralizadores cobalto Huelga de recursos compartidos de red internos.
  • El uso de un descargador con similitudes con el nombre Shifu “Modo de cobalto”.
  • El uso de Sharphound para recoger información de directorio activo de las víctimas.
  • Una costumbre compilado intérprete de Python que utiliza códigos de operación revueltos para obstaculizar el análisis.
  • El uso de un algoritmo RC4 modificado para cargas útiles cifrar con una clave única por cada huésped infectado.

pyxie RAT: Distribución

El RAT se distribuye con la ayuda de una técnica sideloading la utilización de aplicaciones legítimas. Un ejemplo de una aplicación de este tipo es una versión troyanizado de un juego de Tetris de código abierto. Si la víctima potencial descarga el juego, También se descargarán la carga maliciosa sin saber. Los usos de malware PowerShell para escalar privilegios y lograr la persistencia en el host infectado.

Como ya se ha mencionado, Pyxie utiliza el modo de cobalto para conectarse a un servidor de comando y control para descargar la carga útil final de la operación.

Como se explica en el informe, El propósito principal de modo Cobalt incluye varias fases, tales como la conexión al servidor de comando y control, downloding una carga útil cifrada y descifrado se, mapeo y la ejecución de la carga útil en el espacio de direcciones del proceso actual, y genere un nuevo proceso para la inyección de código.

Relacionado: CStealer troyano roba contraseñas de Chrome, Los envía a la base de datos remota

Es de destacar que el modo de cobalto puede llevar a cabo una serie de controles ambientales para determinar si se ejecuta desde una caja de arena o de máquina virtual (VM). También puede determinar si un lector de tarjetas inteligentes está conectado, y si las solicitudes están siendo interceptadas con las personas de mediana hombre en (MitM) ataque.

En cuanto a la última etapa de carga útil, es "una rata con todas las funciones de Python compilado en un archivo ejecutable". Los autores del código malicioso compilan su propio intérprete de Python en lugar de utilizar py2exe o PyInstaller para crear el ejecutable.

Finalmente, las capacidades de Pyxie RAT incluyen man-in-the-middle interceptación, inyecciones web, funcionalidades de keylogger, recolección de credenciales, escaneado en red, robo de cookies, registros de compensación, grabación de vídeo, corriendo cargas útiles arbitrarias, el seguimiento de las unidades USB y los datos exfiltrating, servidor WebDAV y el proxy Socks5, conexión VNC, el robo de certificados, software de comprobación, y enumerar el dominio con Sharphound.

Pyxie RAT también se utiliza en las campañas ransomware

También han visto los investigadores evidencia de Pyxie siendo utilizado en varios ataques ransomware. En este caso, el cargador es una fuente abierta troyanizado juego de Tetris, que las cargas de una carga útil shellcode cifrado conocido como settings.dat a partir de un recurso compartido de red interna.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...