Rabatte für mehrere Lizenzen
Threat Database Remote Administration Tools Farbenblinde RATTE

Farbenblinde RATTE

Von Mezo in Remote Administration Tools, Malware
Übersetzen Sie in:
Deutsch

Cybersicherheitsforscher haben ein bedrohliches Python-Paket entdeckt, das in den Python Package Index (PyPI) hochgeladen wurde und einen schädlichen Informationsdieb und einen Remote Access Trojaner (RAT) enthält. Das Paket hieß „colourfool“ und wurde von einem Sicherheitsforschungsteam identifiziert, das die Malware-Bedrohung selbst „Color-Blind“ nannte.

Dieser Vorfall verdeutlicht den wachsenden Trend der demokratisierten Cyberkriminalität, bei der böswillige Akteure leicht auf bestehenden Code zugreifen und ihn für ihre eigenen Absichten wiederverwenden können. Die Forscher erklärten, dass die Demokratisierung der Online-Kriminalität zu einer verschärften Bedrohungslandschaft führen könnte, da Angreifer mehrere Varianten ihrer Malware erstellen können, indem sie von anderen stammenden Code nutzen.

Wie andere neuere Schurken-Python-Module verwendet Colour-Blind eine Technik, um seinen schlechten Code im Setup-Skript zu verbergen. Das Setup-Skript verweist dann auf eine ZIP-Archiv-Payload, die auf der legitimen Discord-Plattform gehostet wird. Dadurch kann sich die Malware der Erkennung durch einige herkömmliche Sicherheitsmaßnahmen entziehen, wodurch sie schwieriger zu erkennen und zu entfernen ist.

Die farbenblinde RAT trägt den Code für das Spiel „Schlange“.

Die Malware verwendet einen Persistenzmechanismus, der das Hinzufügen eines Visual Basic (VB)-Skripts mit dem Namen „Essentials. vbs“ in den Ordner „Autostart“ im „Startmenü“ des Benutzers. Bei der Anmeldung führt das VB-Skript eine Windows-Stapeldatei aus, die die Malware in denselben Ordner wie „python.exe“ einfügt. Diese Batch-Datei startet die Malware mit Python jedes Mal, wenn sich der Benutzer anmeldet, und stellt sicher, dass die Malware aktiv und auf dem System vorhanden bleibt.

Die Malware verfügt über eine Datei-Exfiltrationsfunktion, die „transfer[.]sh“ nutzt, eine anonyme Dateiübertragungs-Website, die bei Bedrohungsakteuren immer beliebter wird. Die Malware enthält auch Code im Zusammenhang mit Social Engineering, der eine Fehlermeldung generiert, die versucht, den Benutzer zu überzeugen, die Malware als Administrator erneut auszuführen. Darüber hinaus enthält die Malware eine eingebettete Version des Spiels „Snake“, die eine direkte Kopie des Codes aus einem GitHub-Repository zu sein scheint. Dieses Spiel erfüllt jedoch keinen offensichtlichen Zweck und startet nicht, wenn es ausgeführt wird.

Die Malware löst mehrere Unterprozesse aus, darunter Threads zum Sammeln von Cookies, Passwörtern und Wallets für Kryptowährungen. Um die Fernsteuerung zu ermöglichen, startet die Malware eine Flask-Webanwendung. Die Bedrohung macht die Anwendung dann über das Reverse-Tunnel-Dienstprogramm von Cloudflare namens „cloudflared“ für das Internet zugänglich. Durch die Verwendung dieser Methode kann die Malware alle eingehenden Firewall-Regeln umgehen und eine dauerhafte Präsenz auf dem kompromittierten System aufrechterhalten.

Das umfangreiche Set bedrohlicher Fähigkeiten, die in der farbenblinden RAT zu finden sind

Die Colour-Blind RAT und ihre verschiedenen schädlichen Funktionen können über die Webanwendung gesteuert werden. Die Token-Funktion kann Login-Token für mehrere Anwendungen ausgeben, die Chrom über electron.io oder Chrom direkt als Anwendungsframework verwenden, zu dem auch Discord gehört. Die Passwortfunktion gibt extrahierte Passwörter von Webbrowsern auf dem Bildschirm aus, während die Cookies-Funktion alle Browser-Cookies auf dem Bildschirm ausgibt. Die Tastenfunktion überträgt erfasste Daten auf Keylogger und zeigt sie auf dem Bildschirm an.

Zu den Fähigkeiten des RAT gehört auch die Anwendungsfunktion, die eine Liste der derzeit aktiven Anwendungen und eine Schaltfläche zum Beenden dieser bereitstellt. Die Daten-Dump-Funktion sendet alle erfassten Daten an die C2-URL. Die Bildschirmfunktion zeigt einen Screenshot des Desktops des Benutzers und ermöglicht rudimentäre Interaktionen, wie z. B. Tastendrücke. Die Bedrohung kann auch IP-Informationen nachschlagen und mit einer anderen Funktion auf dem Bildschirm anzeigen. Es kann einen Browser zu einer bestimmten Webseite öffnen und Befehle über das Betriebssystem ausführen. Kryptowährungs-Wallet-Informationen können über die Phantom-/Metamask-Funktion von dem verletzten Gerät gesammelt werden.

Die Colour-Blind RAT kann jedoch noch mehr Aktionen auf den infizierten Systemen ausführen, beispielsweise die Verwendung des /camera-Endpunkts, um einen ahnungslosen Benutzer über eine Webkamera auszuspionieren. Es gibt auch verschiedene Endpunkte, die mit „hvnc“ beginnen und sich mit einem versteckten Desktop befassen, der auf dem Computer des Opfers erstellt wurde. Die Funktion /hvncmanager ermöglicht das Starten eines Webbrowsers auf diesem versteckten Desktop. Die /hvnc-Funktion wird verwendet, um den versteckten Desktop zu öffnen, und ermöglicht es den Angreifern, damit zu interagieren. Die Fähigkeit, einen Webbrowser auf solch versteckte Weise zu öffnen, kann von den Angreifern ausgenutzt werden, um auf die Internetkonten des Opfers zuzugreifen oder mit ihnen zu interagieren. Die /hvncitem-Funktion ermöglicht es den Angreifern, durch Manipulation des URL-Parameters „start“ benutzerdefinierte Befehle auf dem versteckten Desktop auszuführen.

Im Trend

Am häufigsten gesehen

Wird geladen...