PY#RATION RATTE

Eine neue Angriffskampagne wurde in freier Wildbahn gefangen. Die bedrohliche Operation verwendet eine neuartige Python-basierte Malware namens PY#RATION RAT. Wie es bei diesen Remote-Access-Trojanern (RATs) üblich ist, verfügt PY#RATION über eine umfassende Reihe schädlicher Fähigkeiten, einschließlich Daten-Exfiltration und Keylogging. Was diese Bedrohung besonders einzigartig macht, ist die Verwendung von WebSockets sowohl für die Command-and-Control-Kommunikation (C2, C&C) als auch für die Exfiltration sowie ihre Fähigkeit, der Erkennung durch Anti-Malware-Lösungen und Netzwerksicherheitsmaßnahmen zu entgehen.

Die Details über die PY#RATION RAT wurden in einem Bericht von Cybersicherheitsforschern enthüllt. Ihren Erkenntnissen zufolge konzentrieren sich die Cyberkriminellen hinter der Bedrohung hauptsächlich auf Ziele in Großbritannien oder Nordamerika, gemessen an den Phishing-Ködern, die im Rahmen des Angriffs verwendet wurden.

Die Angriffskette von PY#RATION

Der Angriff beginnt mit einer betrügerischen Phishing-E-Mail, die ein ZIP-Archiv enthält. Im Archiv befinden sich zwei Verknüpfungsdateien (.LNK), die sich als Vorder- und Rückseitenbilder eines angeblich echten britischen Führerscheins ausgeben. Beim Öffnen jeder dieser .LNK-Dateien werden zwei Textdateien von einem Remote-Server abgerufen und dann als .BAT-Dateien gespeichert.

Während dem Opfer die Lockbilder gezeigt werden, werden die schädlichen Dateien im Hintergrund des Systems ausgeführt. Zusätzlich wird ein weiteres Batch-Skript vom C2-Server heruntergeladen, das andere Payloads erhält, einschließlich einer Python-Binärdatei mit dem Namen „CortanaAssistance.exe“. Die Verwendung von Cortana, dem virtuellen Assistenten von Microsoft, impliziert, dass die Angreifer möglicherweise versucht haben, ihren beschädigten Code als legitime Systemdatei zu tarnen.

Die verletzenden Fähigkeiten von PY#RATION RAT

Es wurden zwei Versionen des PY#RATION-Trojaners entdeckt (Version 1.0 und 1.6). Die neuere Version enthält fast 1.000 Zeilen zusätzlichen Code, der Netzwerk-Scanning-Funktionen zur Untersuchung kompromittierter Netzwerke und eine Verschlüsselungsschicht über dem Python-Code mit dem Fernet-Modul hinzufügt. Darüber hinaus kann die Bedrohung Dateien vom angegriffenen Host auf seinen C2-Server übertragen und umgekehrt.

Die RAT kann damit beginnen, Tastenanschläge aufzuzeichnen, Systembefehle auszuführen, Passwörter und Cookies aus Webbrowsern zu extrahieren, Daten aus der Zwischenablage zu erfassen und das Vorhandensein von Sicherheitssoftware zu erkennen. Die Bedrohungsakteure können PY#RATION als Gateway für die Bereitstellung der Payloads anderer Bedrohungen nutzen, z. B. eines anderen Python-basierten Info-Stealers, der explizit zum Sammeln von Daten aus Webbrowsern und Kryptowährungs-Wallets entwickelt wurde.