Un nouveau Python RAT (Remote Access Trojan) vient d'être découvert par des chercheurs de sécurité. appelé pyxie, le cheval de Troie a été observé dans la nature depuis 2018, ou peut-être même plus tôt, mais n'a pas été analysé en profondeur jusqu'à présent.
pyxie RAT: Présentation technique
Selon les chercheurs BlackBerry Cylance, Pyxie est utilisé dans des attaques contre plusieurs industries. L'analyse montre que le logiciel malveillant a été déployé en collaboration avec cobalt grève et un téléchargeur semblable à Shifu.
L'équipe de recherche a pu effectuer plusieurs missions d'intervention en cas d'incident dans lequel le RAT a été identifié sur des hôtes infectés. Merci à ces informations, les chercheurs ont décrit les programmes malveillants de «Points saillants» Vu dans les campagnes:
- binaires légitimes LogMeIn et Google utilisés pour des charges utiles sideload.
- Un cheval de troie Tetris application pour charger et exécuter Cobalt grève stagers de partages réseau interne.
- Utilisation d'un téléchargeur présentant des similitudes avec Shifu nommées “mode de cobalt”.
- L'utilisation de Sharphound pour collecter des informations de répertoire actif des victimes.
- Un interpréteur Python personnalisé compilé usages brouillées opcodes pour analyse Hinder.
- L'utilisation d'un algorithme RC4 modifié pour des charges utiles Chiffrer avec une clé unique par hôte infecté.
pyxie RAT: Distribution
Le RAT est distribué avec l'aide d'une technique de Sideloading utilisant des applications légitimes. Un exemple d'une telle application est une version d'un jeu cheval de troie Tetris open-source. Si la victime potentielle télécharge le jeu, ils téléchargent également la charge utile malveillante sans le savoir. Les utilisations de logiciels malveillants PowerShell pour escaladent les privilèges et atteindre la persistance de l'hôte infecté.
Comme déjà mentionné, Pyxie utilise le mode Cobalt pour se connecter à un serveur de commande et de contrôle pour télécharger la charge utile finale de l'opération.
Comme expliqué dans le rapport, le but principal de mode Cobalt comprend plusieurs phases telles que la connexion à la commande et le serveur de contrôle, downloding une charge utile et le décryptage cryptée, la cartographie et l'exécution de la charge utile dans l'espace d'adresse du processus courant, et générer un nouveau processus pour l'injection de code.
en relation: CStealer Trojan Vole Les mots de passe de Chrome, Les envoie à la base de données à distance
Il est à noter que le mode Cobalt peut effectuer une série de contrôles environnementaux afin de déterminer si elle est en cours d'exécution à partir d'un bac à sable ou à la machine virtuelle (VM). Il peut également déterminer si un lecteur de carte à puce est connecté, et si les demandes sont interceptées avec un homme-in-the-milieu (MitM) attaque.
En ce qui concerne la charge utile de dernière étape, il est "un RAT Python complet compilé dans un fichier exécutable". Les auteurs du code malveillant compilé leur propre interpréteur Python au lieu d'utiliser py2exe ou PyInstaller pour créer l'exécutable.
Enfin, les capacités de pyxie RAT comprennent man-in-the-middle interception, injections web, fonctionnalités keylogging, la récolte des titres de compétences, la numérisation réseau, le vol de cookies, journaux de compensation, enregistrement vidéo, exécutant des charges utiles arbitraires, la surveillance des clés USB et des données exfiltration, serveur WebDav et proxy Socks5, connexion VNC, vol de certificat, logiciel de vérification, et le domaine avec l'énumération Sharphound.
Pyxie RAT également utilisé dans les campagnes Ransomware
Les chercheurs ont également des preuves vu de pyxie utilisé dans plusieurs attaques de ransomware. Dans ce cas, le chargeur est un Tetris open source jeu cheval de troie, qui charge une charge utile de shellcode connu sous le nom chiffré settings.dat à partir d'un partage réseau interne.