Nuevo malware PY#RATION dirigido a dispositivos Windows

Iniciado por AXCESS, Enero 30, 2023, 01:02:49 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las funciones de malware también incluyen transferencia de archivos, registro de teclas (keylogging), robo de contraseñas almacenadas en el navegador, robo de datos del portapapeles, exfiltración de cookies y más.

Los investigadores de ciberseguridad de la empresa de análisis de amenazas Securonix han descubierto un nuevo malware denominado PY#RATION que permite a los atacantes robar archivos confidenciales y registrar las pulsaciones de teclas de los dispositivos afectados.

Técnica de distribución de malware


El malware se distribuye a través de un mecanismo de phishing convencional en el que el correo electrónico contiene un archivo ZIP protegido con contraseña. Cuando se desempaqueta, aparecen dos archivos de imagen de acceso directo, titulados front.jpg.lkn y back.jpg.lnk. Cuando se inician, estos archivos muestran el anverso y el reverso de una licencia de conducir que no existe.

Con esto, el código malicioso también se ejecuta, lo que lleva a que se descarguen dos nuevos archivos de Internet. Estos archivos se titulan front.txt y back.txt, luego se les cambió el nombre a .bat docs y se ejecutaron. El malware se disfraza de asistente virtual de Cortana para garantizar la persistencia en el sistema.

¿Qué es PY#RACIÓN?

PY#RATION es un malware basado en Python que muestra un comportamiento similar a RAT (troyano de acceso remoto) para mantener el control sobre el host afectado. El malware tiene varias capacidades y funcionalidades, como el registro de teclas y la exfiltración de datos.

Sin embargo, el aspecto único es que utiliza WebSocket para la exfiltración y la comunicación C2, y evade la detección de las soluciones de seguridad de red y los programas antivirus. Aprovechando el marco No tienes permitido ver los links. Registrarse o Entrar a mi cuenta incorporado de Python que facilita las comunicaciones WebSocket de cliente y servidor, el malware extrae datos y obtiene comandos a través de una única conexión TCP a través de puertos abiertos simultáneamente.

Además, según una publicación de blog publicada por Securonix, los atacantes usan la misma dirección C2, que el sistema de verificación de IPVoid aún no ha bloqueado. Los investigadores creen que este malware aún se encuentra en desarrollo activo, ya que han detectado varias versiones desde agosto de 2022. El malware recibe instrucciones de las operaciones a través de WebSocket y obtiene datos confidenciales.
Peligros potenciales

Este RAT de Python se empaqueta en un ejecutable que utiliza empaquetadores automáticos como 'pyinstaller' y 'py2exe' para convertir el código de Python en ejecutables de Windows. Esto ayuda a inflar el tamaño de la carga útil (la primera versión detectada 1.0 es de 14 MB y la última versión detectada 1.6.0 es de 32 MB que contiene más de 1000 líneas y código adicional).

Cadena de infección del malware python PY#RATION (Crédito: Securonix)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores afirman que nadie detecta la última versión de la carga útil, excepto un motor antivirus que figura en VirusTotal.

Las características del malware incluyen transferencia de archivos hacia y desde el servidor C2, enumeración de red, ejecución de comandos de shell, registro de teclas, robo de contraseñas almacenadas en el navegador, enumeración de host, robo de datos del portapapeles y exfiltración de cookies.
Quién está detrás de esta campaña, el volumen de distribución y los objetivos de la campaña aún no están claros.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta