Casa > Cyber ​​Notizie > PyXie RAT può rubare le password, Registra video e farti ransomware
CYBER NEWS

Pyxie RAT può rubare le password, Registra video e farti ransomware

da   |  Ultimo aggiornamento:  |  0 Commenti  

Un nuovo Python RAT (Remote Access Trojan) è stato appena scoperto da ricercatori di sicurezza. chiamato pyxie, il Trojan è stato osservato in natura dal 2018, o forse anche prima, ma non è stato analizzato a fondo fino ad ora.




pyxie RAT: Panoramica tecnica

Secondo i ricercatori BlackBerry Cylance, Pyxie viene utilizzato in attacchi contro diversi settori. L'analisi mostra che il malware è stato distribuito in combinazione con Cobalt sciopero e un downloader simile Shifu.

Il team di ricerca è stato in grado di eseguire molteplici impegni di risposta agli incidenti in cui il RAT è stato identificato su host infetti. Grazie a queste informazioni, i ricercatori hanno illustrato le del malware “Caratteristiche principali”Visto nelle campagne:

  • Legittimo binari LogMeIn e Google utilizzati per carichi sideload.
  • Un trojanized Tetris applicazione per caricare ed eseguire volpi Cobalto sciopero da condivisioni di rete interne.
  • L'utilizzo di un downloader con somiglianze con Shifu nome “Modalità Cobalt”.
  • L'utilizzo di Sharphound per raccogliere informazioni di directory attiva da parte delle vittime.
  • Un'usanza compilato interprete Python che utilizzi criptato codici operativi per ostacolare l'analisi.
  • L'utilizzo di un algoritmo RC4 modificato per carichi utili crittografare con una chiave unica per host infetto.

pyxie RAT: Distribuzione

Il ratto è distribuito con l'aiuto di una tecnica che utilizza applicazioni legittime sideloading. Un esempio di tale applicazione è una versione trojanized di un open-source gioco Tetris. Se la potenziale vittima scarica il gioco, essi dovranno anche scaricare il payload maligno senza sapere. Gli usi di malware PowerShell per aumentare i privilegi e raggiungere la persistenza sull'host infetto.

Come già accennato, Pyxie utilizza la modalità di cobalto per connettersi a un server di comando e controllo per scaricare il carico utile finale dell'operazione.

Come spiegato nella relazione, Lo scopo principale della modalità cobalto comprende varie fasi come la connessione al server di comando e controllo, downloding un payload criptato e decrittografia, la mappatura e l'esecuzione del carico utile nello spazio di indirizzi del processo corrente, e generando un nuovo processo per l'iniezione di codice.

Correlata: CStealer Trojan ruba le password da Chrome, Li invia al database remoto

È da notare che la modalità di cobalto può condurre una serie di controlli ambientali per determinare se viene eseguito da una sandbox o macchina virtuale (VM). Si può anche determinare se un lettore di smart card è collegato, e se le richieste vengono intercettati con un man-in-the-middle (MitM) attacco.

Per quanto riguarda il carico utile finale fase, è "Un ratto full-optional Python compilato in un eseguibile". Gli autori del codice maligno compilato il proprio interprete Python invece di utilizzare py2exe o PyInstaller per creare l'eseguibile.

Infine, le capacità di pyxie RAT comprendono man-in-the-middle intercettazione, iniezioni web, funzionalità di keylogging, raccolta credenziali, scansione di rete, il furto di cookie, i registri di compensazione, registrazione video, esecuzione payload arbitrarie, monitoraggio unità USB e exfiltrating dati, server WebDAV e proxy SOCKS5, connessione VNC, furto di certificato, software di controllo, e l'enumerazione il dominio con Sharphound.

Pyxie RAT Utilizzato anche in ransomware Campagne

prove I ricercatori hanno anche visto di pyxie viene utilizzato in diversi attacchi ransomware. In questo caso, il caricatore è un open source trojanized Tetris, che carica un payload shellcode crittografato denominato settings.dat da una condivisione di rete interna.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Cobalt Sciopero Malware (W32 / Cobalt) – Che cosa è e come rimuoverlo Questo articolo si propone di spiegare ciò che è Cobalt Sciopero di malware,...
  2. Rimuovere Warzone RAT È RAT Warzone un cavallo di Troia? Warzone RAT danneggia....
  3. Borat RAT può distribuire ransomware, Registra audio e video, ed eseguire DDoS I ricercatori di sicurezza hanno segnalato un nuovo ceppo di malware, capable of distributing...
  4. Rimuovere il cardinale RAT dal PC Qual è il cardinale RAT? Come rimuovere Cardinal RAT da...
  5. Rimozione dello spettro RAT Che cos'è Spectre RAT Spectre RAT è ciò che potresti...
  6. Pupy RAT Descrizione e rimozione C'è una nuova RAT (Accesso remoto Strumento / Trojan) that goes...
  7. RAT Software Scam Virus (E-Mail Ricatto) - Come rimuovere Qual è il “RAT software” e-mail truffa? Quali sono le...
  8. Quasi la metà dei dipendenti statunitensi continua a conservare le proprie password su foglietti adesivi Qual è il modo più sicuro per conservare le tue password? Perhaps...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo