Casa > cibernético Notícias > PyXie RAT pode roubar senhas, Gravar vídeo e levá-lo Ransomware
CYBER NEWS

Pyxie RAT pode roubar senhas, Gravar vídeo e levá-lo Ransomware

Um novo Python RAT (Acesso remoto Trojan) foi apenas descoberto por pesquisadores de segurança. chamado pyxie, o cavalo de Tróia tem sido observado na natureza desde 2018, ou talvez ainda mais cedo, mas não tem sido até agora analisados ​​profundamente.




pyxie RAT: Visão geral técnica

De acordo com pesquisadores BlackBerry Cylance, Pyxie está sendo usado em ataques contra várias indústrias. A análise mostra que o malware foi implantado em conjunto com Cobalt greve e um transferidor para semelhante Shifu.

A equipe de pesquisa foi capaz de executar múltiplas compromissos de resposta a incidentes em que o RAT foi identificado em hospedeiros infectados. Graças a estas informações, os pesquisadores delineou os de malware “principais destaques”Visto em campanhas:

  • Legítimos binários LogMeIn e Google usados ​​para cargas úteis sideload.
  • A Trojanized Tetris aplicativo para carregar e executar stagers Cobalt greve a partir de compartilhamentos de rede internos.
  • Use de um downloader com semelhanças com Shifu nomeados “Modo Cobalt”.
  • Uso de Sharphound para coletar informações do Active Directory de vítimas.
  • Um costume compilado interpretador Python que usos mexidos opcodes para dificultar a análise.
  • O uso de um algoritmo RC4 modificado para cargas úteis criptografar com uma chave única por hospedeiro infectado.

pyxie RAT: Distribuição

O rato é distribuído com a ajuda de uma técnica sideloading utilizando aplicativos legítimos. Um exemplo de um aplicativo como é uma versão cavalos de Tróia, um jogo de Tetris open-source. Se a vítima em potencial faz o download do jogo, que também irá fazer o download do conteúdo malicioso sem saber. Os usos de malware PowerShell para escalar privilégios e alcançar persistência no hospedeiro infectado.

Como já mencionado, Pyxie usa Modo Cobalt se conectar a um servidor de comando e controle para baixar a carga final da operação.

Como explicadas no relatório, a principal finalidade do modo de cobalto inclui várias fases, tais como a ligação ao servidor de comando e controle, Downloding uma carga criptografada e descriptografar-lo, mapeamento e execução da carga útil no espaço de endereço do processo atual, e gerando um novo processo para a injeção de código.

relacionado: CStealer tróia rouba senhas de Chrome, Envia-los para banco de dados remoto

Vale ressaltar que o Modo Cobalt pode realizar uma série de verificações ambientais para determinar se ele está sendo executado a partir de uma caixa de areia ou máquina virtual (VM). Ele também pode determinar se um leitor de cartão inteligente está ligado, e se os pedidos estão sendo interceptado com um man-in-the-middle (MITM) ataque.

Tal como para a fase final de carga útil, isto é "um RAT full-featured Python compilado em um arquivo executável”. Os autores do código malicioso compilado seu próprio interpretador Python em vez de usar Py2Exe ou PyInstaller para criar o arquivo executável.

Finalmente, as capacidades do pyxie RAT incluem man-in-the-middle interceptação, injecções web, funcionalidades de keylogging, colheita credencial, digitalização em rede, roubo de cookies, registros de compensação, gravação de vídeo, executar cargas arbitrárias, monitoramento de unidades USB e exfiltrating dados, servidor WebDAV e do proxy Socks5, conexão VNC, roubo certificado, software de verificação, e enumerar o domínio com Sharphound.

Pyxie RAT também usado no ransomware Campanhas

provas Os pesquisadores também têm visto de pyxie sendo usado em vários ataques ransomware. Nesse caso, o carregador é uma fonte aberta trojanized Tetris Jogo, que carrega uma carga útil shellcode criptografado conhecido como settings.dat a partir de um compartilhamento de rede interna.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...