Casa > Cyber ​​Notizie > PyXie RAT Can Steal Passwords, Registra video e farti ransomware
CYBER NEWS

Pyxie RAT può rubare le password, Registra video e farti ransomware

Un nuovo Python RAT (Remote Access Trojan) è stato appena scoperto da ricercatori di sicurezza. chiamato pyxie, il Trojan è stato osservato in natura dal 2018, o forse anche prima, ma non è stato analizzato a fondo fino ad ora.




pyxie RAT: Panoramica tecnica

Secondo i ricercatori BlackBerry Cylance, Pyxie viene utilizzato in attacchi contro diversi settori. L'analisi mostra che il malware è stato distribuito in combinazione con Cobalt sciopero e un downloader simile Shifu.

Il team di ricerca è stato in grado di eseguire molteplici impegni di risposta agli incidenti in cui il RAT è stato identificato su host infetti. Grazie a queste informazioni, i ricercatori hanno illustrato le del malware “Caratteristiche principali”Visto nelle campagne:

  • Legittimo binari LogMeIn e Google utilizzati per carichi sideload.
  • Un trojanized Tetris applicazione per caricare ed eseguire volpi Cobalto sciopero da condivisioni di rete interne.
  • L'utilizzo di un downloader con somiglianze con Shifu nome “Modalità Cobalt”.
  • L'utilizzo di Sharphound per raccogliere informazioni di directory attiva da parte delle vittime.
  • Un'usanza compilato interprete Python che utilizzi criptato codici operativi per ostacolare l'analisi.
  • L'utilizzo di un algoritmo RC4 modificato per carichi utili crittografare con una chiave unica per host infetto.

pyxie RAT: Distribuzione

Il ratto è distribuito con l'aiuto di una tecnica che utilizza applicazioni legittime sideloading. Un esempio di tale applicazione è una versione trojanized di un open-source gioco Tetris. Se la potenziale vittima scarica il gioco, essi dovranno anche scaricare il payload maligno senza sapere. Gli usi di malware PowerShell per aumentare i privilegi e raggiungere la persistenza sull'host infetto.

Come già accennato, Pyxie utilizza la modalità di cobalto per connettersi a un server di comando e controllo per scaricare il carico utile finale dell'operazione.

Come spiegato nella relazione, Lo scopo principale della modalità cobalto comprende varie fasi come la connessione al server di comando e controllo, downloding un payload criptato e decrittografia, la mappatura e l'esecuzione del carico utile nello spazio di indirizzi del processo corrente, e generando un nuovo processo per l'iniezione di codice.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/cstealer-trojan-steals-passwords-chrome/”] CStealer Trojan ruba le password da Chrome, Li invia al database remoto

È da notare che la modalità di cobalto può condurre una serie di controlli ambientali per determinare se viene eseguito da una sandbox o macchina virtuale (VM). Si può anche determinare se un lettore di smart card è collegato, e se le richieste vengono intercettati con un man-in-the-middle (MitM) attacco.

Per quanto riguarda il carico utile finale fase, è "Un ratto full-optional Python compilato in un eseguibile". Gli autori del codice maligno compilato il proprio interprete Python invece di utilizzare py2exe o PyInstaller per creare l'eseguibile.

Infine, le capacità di pyxie RAT comprendono man-in-the-middle intercettazione, iniezioni web, funzionalità di keylogging, raccolta credenziali, scansione di rete, il furto di cookie, i registri di compensazione, registrazione video, esecuzione payload arbitrarie, monitoraggio unità USB e exfiltrating dati, server WebDAV e proxy SOCKS5, connessione VNC, furto di certificato, software di controllo, e l'enumerazione il dominio con Sharphound.

Pyxie RAT Utilizzato anche in ransomware Campagne

prove I ricercatori hanno anche visto di pyxie viene utilizzato in diversi attacchi ransomware. In questo caso, il caricatore è un open source trojanized Tetris, che carica un payload shellcode crittografato denominato settings.dat da una condivisione di rete interna.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...