Исследователи компании Securonix обнаружили
RAT-троян на основе Python — высокоуровневый язык программирования общего назначения с динамической строгой типизацией и автоматическим управлением памятью. Он ориентирован на повышение производительности разработчика, читаемости кода и его качества, а также на обеспечение переносимости написанных на нём программ.
Язык является полностью объектно-ориентированным.
Необычная особенность языка — выделение блоков кода пробельными отступами.
Синтаксис ядра языка минималистичен, за счёт чего на практике редко возникает необходимость обращаться к документации
» data-html=»true» data-original-title=»Python»>Python, который дает его операторам полный контроль над взломанными системами.
Эксперты назвали троян PY#RATION. Он использует протокол WebSocket для связи с сервером управления и контроля (Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.
» data-html=»true» data-original-title=»C2″>C2) и для извлечения данных с хоста-жертвы. Вредоносное ПО PY#RATION распространяется посредством фишинговой кампании, в которой используются защищенные паролем ZIP-архивы, содержащие два LNK-ярлыка, которые замаскированы под изображения «front.jpg.lnk» и «back.jpg.lnk».
При запуске ярлыков жертва видит фотографии водительского удостоверения. В это время выполняется вредоносный код для связи с C2 и загрузки двух TXT-файлов «front.txt» и «back.txt», которые затем переименовываются в BAT-файлы для выполнения вредоносного ПО.
При запуске вредоносное ПО создает каталоги «Cortana» и «Cortana/Setup» во временном каталоге пользователя, а затем загружает, распаковывает и запускает дополнительные исполняемые файлы из этого расположения. Постоянство устанавливается путем добавления пакетного файла «CortanaAssist.bat» в каталог запуска пользователя. Использование Cortana направлено на то, чтобы замаскировать записи вредоносного ПО под системные файлы.
Цепочка заражения PY#RATION
PY#RATION представляет собой
Средство удаленного администрирования (Remote Administration Tool, RAT) — инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.