Accueil > Nouvelles Cyber > PyXie RAT peut voler des mots de passe, Enregistrement vidéo et Get You Ransomware
CYBER NOUVELLES

Pyxie RAT peut-il voler des mots de passe, Enregistrement vidéo et Get You Ransomware

par   |  Last Update:  |  0 Commentaires  

Un nouveau Python RAT (Remote Access Trojan) vient d'être découvert par des chercheurs de sécurité. appelé pyxie, le cheval de Troie a été observé dans la nature depuis 2018, ou peut-être même plus tôt, mais n'a pas été analysé en profondeur jusqu'à présent.




pyxie RAT: Présentation technique

Selon les chercheurs BlackBerry Cylance, Pyxie est utilisé dans des attaques contre plusieurs industries. L'analyse montre que le logiciel malveillant a été déployé en collaboration avec cobalt grève et un téléchargeur semblable à Shifu.

L'équipe de recherche a pu effectuer plusieurs missions d'intervention en cas d'incident dans lequel le RAT a été identifié sur des hôtes infectés. Merci à ces informations, les chercheurs ont décrit les programmes malveillants de «Points saillants» Vu dans les campagnes:

  • binaires légitimes LogMeIn et Google utilisés pour des charges utiles sideload.
  • Un cheval de troie Tetris application pour charger et exécuter Cobalt grève stagers de partages réseau interne.
  • Utilisation d'un téléchargeur présentant des similitudes avec Shifu nommées “mode de cobalt”.
  • L'utilisation de Sharphound pour collecter des informations de répertoire actif des victimes.
  • Un interpréteur Python personnalisé compilé usages brouillées opcodes pour analyse Hinder.
  • L'utilisation d'un algorithme RC4 modifié pour des charges utiles Chiffrer avec une clé unique par hôte infecté.

pyxie RAT: Distribution

Le RAT est distribué avec l'aide d'une technique de Sideloading utilisant des applications légitimes. Un exemple d'une telle application est une version d'un jeu cheval de troie Tetris open-source. Si la victime potentielle télécharge le jeu, ils téléchargent également la charge utile malveillante sans le savoir. Les utilisations de logiciels malveillants PowerShell pour escaladent les privilèges et atteindre la persistance de l'hôte infecté.

Comme déjà mentionné, Pyxie utilise le mode Cobalt pour se connecter à un serveur de commande et de contrôle pour télécharger la charge utile finale de l'opération.

Comme expliqué dans le rapport, le but principal de mode Cobalt comprend plusieurs phases telles que la connexion à la commande et le serveur de contrôle, downloding une charge utile et le décryptage cryptée, la cartographie et l'exécution de la charge utile dans l'espace d'adresse du processus courant, et générer un nouveau processus pour l'injection de code.

en relation: CStealer Trojan Vole Les mots de passe de Chrome, Les envoie à la base de données à distance

Il est à noter que le mode Cobalt peut effectuer une série de contrôles environnementaux afin de déterminer si elle est en cours d'exécution à partir d'un bac à sable ou à la machine virtuelle (VM). Il peut également déterminer si un lecteur de carte à puce est connecté, et si les demandes sont interceptées avec un homme-in-the-milieu (MitM) attaque.

En ce qui concerne la charge utile de dernière étape, il est "un RAT Python complet compilé dans un fichier exécutable". Les auteurs du code malveillant compilé leur propre interpréteur Python au lieu d'utiliser py2exe ou PyInstaller pour créer l'exécutable.

Enfin, les capacités de pyxie RAT comprennent man-in-the-middle interception, injections web, fonctionnalités keylogging, la récolte des titres de compétences, la numérisation réseau, le vol de cookies, journaux de compensation, enregistrement vidéo, exécutant des charges utiles arbitraires, la surveillance des clés USB et des données exfiltration, serveur WebDav et proxy Socks5, connexion VNC, vol de certificat, logiciel de vérification, et le domaine avec l'énumération Sharphound.

Pyxie RAT également utilisé dans les campagnes Ransomware

Les chercheurs ont également des preuves vu de pyxie utilisé dans plusieurs attaques de ransomware. Dans ce cas, le chargeur est un Tetris open source jeu cheval de troie, qui charge une charge utile de shellcode connu sous le nom chiffré settings.dat à partir d'un partage réseau interne.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Cobalt grève Malware (W32 / Cobalt) – Qu'est-ce et comment l'enlever Cet article vise à expliquer ce qui est Cobalt Malware Strike,...
  2. Retirer Warzone RAT Est-RAT Warzone un cheval de Troie? Est-ce que Warzone RAT nuit...
  3. Borat RAT peut distribuer des rançongiciels, Enregistrer de l'audio et de la vidéo, et effectuer des DDoS Des chercheurs en sécurité ont signalé une nouvelle souche de malware, capable of distributing...
  4. Retirer le cardinal RAT à partir de votre PC Qu'est-ce que le cardinal RAT? Comment supprimer Cardinal RAT de...
  5. Suppression de Spectre RAT What Is Spectre RAT Spectre RAT is what you may...
  6. Pupy RAT Description et enlèvement Il ya une nouvelle RAT (Accès à distance outil / Trojan) ça va...
  7. RAT Software Scam Virus (E-Mail Chantage) - Comment faire pour supprimer Quelle est l'arnaque « RAT logiciel » e-mail? Que sont les...
  8. Près de la moitié des employés américains continuent de conserver leurs mots de passe sur des pense-bêtes Quel est le moyen le plus sûr de conserver vos mots de passe? Perhaps...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord