Casa > cibernético Notícias > PyXie RAT pode roubar senhas, Gravar vídeo e levá-lo Ransomware
CYBER NEWS

Pyxie RAT pode roubar senhas, Gravar vídeo e levá-lo Ransomware

Um novo Python RAT (Acesso remoto Trojan) foi apenas descoberto por pesquisadores de segurança. chamado pyxie, o cavalo de Tróia tem sido observado na natureza desde 2018, ou talvez ainda mais cedo, mas não tem sido até agora analisados ​​profundamente.




pyxie RAT: Visão geral técnica

De acordo com pesquisadores BlackBerry Cylance, Pyxie está sendo usado em ataques contra várias indústrias. A análise mostra que o malware foi implantado em conjunto com Cobalt greve e um transferidor para semelhante Shifu.

A equipe de pesquisa foi capaz de executar múltiplas compromissos de resposta a incidentes em que o RAT foi identificado em hospedeiros infectados. Graças a estas informações, os pesquisadores delineou os de malware “principais destaques”Visto em campanhas:

  • Legítimos binários LogMeIn e Google usados ​​para cargas úteis sideload.
  • A Trojanized Tetris aplicativo para carregar e executar stagers Cobalt greve a partir de compartilhamentos de rede internos.
  • Use de um downloader com semelhanças com Shifu nomeados “Modo Cobalt”.
  • Uso de Sharphound para coletar informações do Active Directory de vítimas.
  • Um costume compilado interpretador Python que usos mexidos opcodes para dificultar a análise.
  • O uso de um algoritmo RC4 modificado para cargas úteis criptografar com uma chave única por hospedeiro infectado.

pyxie RAT: Distribuição

O rato é distribuído com a ajuda de uma técnica sideloading utilizando aplicativos legítimos. Um exemplo de um aplicativo como é uma versão cavalos de Tróia, um jogo de Tetris open-source. Se a vítima em potencial faz o download do jogo, que também irá fazer o download do conteúdo malicioso sem saber. Os usos de malware PowerShell para escalar privilégios e alcançar persistência no hospedeiro infectado.

Como já mencionado, Pyxie usa Modo Cobalt se conectar a um servidor de comando e controle para baixar a carga final da operação.

Como explicadas no relatório, a principal finalidade do modo de cobalto inclui várias fases, tais como a ligação ao servidor de comando e controle, Downloding uma carga criptografada e descriptografar-lo, mapeamento e execução da carga útil no espaço de endereço do processo atual, e gerando um novo processo para a injeção de código.

relacionado: CStealer tróia rouba senhas de Chrome, Envia-los para banco de dados remoto

Vale ressaltar que o Modo Cobalt pode realizar uma série de verificações ambientais para determinar se ele está sendo executado a partir de uma caixa de areia ou máquina virtual (VM). Ele também pode determinar se um leitor de cartão inteligente está ligado, e se os pedidos estão sendo interceptado com um man-in-the-middle (MITM) ataque.

Tal como para a fase final de carga útil, isto é "um RAT full-featured Python compilado em um arquivo executável”. Os autores do código malicioso compilado seu próprio interpretador Python em vez de usar Py2Exe ou PyInstaller para criar o arquivo executável.

Finalmente, as capacidades do pyxie RAT incluem man-in-the-middle interceptação, injecções web, funcionalidades de keylogging, colheita credencial, digitalização em rede, roubo de cookies, registros de compensação, gravação de vídeo, executar cargas arbitrárias, monitoramento de unidades USB e exfiltrating dados, servidor WebDAV e do proxy Socks5, conexão VNC, roubo certificado, software de verificação, e enumerar o domínio com Sharphound.

Pyxie RAT também usado no ransomware Campanhas

provas Os pesquisadores também têm visto de pyxie sendo usado em vários ataques ransomware. Nesse caso, o carregador é uma fonte aberta trojanized Tetris Jogo, que carrega uma carga útil shellcode criptografado conhecido como settings.dat a partir de um compartilhamento de rede interna.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo