Securonix’in siber güvenlik araştırmacıları kısa bir süre önce, etkilenen uç noktalardan dosyaları çalabilen ve tuş vuruşlarını günlüğe kaydedebilen Python tabanlı yeni bir kötü amaçlı yazılım keşfetti.
PY#RATION olarak adlandırılan kötü amaçlı yazılım, görünüşe göre aktif olarak geliştiriliyor ve araştırmacılar Ağustos 2022’den bu yana birden fazla sürüm tespit ediyor. Kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuna ulaşmak, talimatları almak ve potansiyel olarak hassas verileri çıkarmak için WebSocket protokolünü kullanıyor. .
Securonix, kötü amaçlı yazılımın “Python’un hem istemci hem de sunucu WebSocket iletişimine özellikler sağlayan yerleşik Socket.IO çerçevesinden yararlandığını” söylüyor. Kötü amaçlı yazılım, verileri çekmek ve komutları almak için bu kanalı kullanır. Yayının iddiasına göre WebSocket’in avantajı, kötü amaçlı yazılımın tek bir TCP bağlantısı üzerinden, yaygın olarak açık bağlantı noktaları aracılığıyla aynı anda veri alıp göndermesine izin vermesidir.
Çoklu özellikler
Araştırmacılar ayrıca saldırganların bunca zaman aynı C2 adresini kullandığını söyledi. Adresin IPVoid kontrol sisteminde henüz bloke edilmediği göz önüne alındığında, araştırmacılar PY#RATION’ın aylarca radarın altında uçtuğunu varsaydılar.
PY#RATION’ın özellikleri arasında ağ numaralandırma, C2’ye ve C2’den dosya aktarımı, keylogging, kabuk komutları yürütme, ana bilgisayar numaralandırma, tanımlama bilgilerinin sızması, tarayıcıda depolanan parolaların sızması ve pano veri hırsızlığı yer alır.
Saldırganlar, kötü amaçlı yazılımı dağıtmak için eski güzel kimlik avı e-postasını kullanıyor. E-posta, parola korumalı bir .ZIP arşiviyle birlikte gelir; bu arşiv, paketten çıkarıldığında resim dosyaları gibi görünmek üzere tasarlanmış iki kısayol dosyası sunar – front.jpg.lkn ve back.jpg.lnk.
“Ön” ve “arka” dosya adları, var olmayan bir ehliyetin ön ve arka yüzünü ifade eder. Kurbanlar dosyaları tıklarsa, internetten indirilen iki dosya daha alır – front.txt ve back.txt. Bunlar daha sonra .bat dosyaları olarak yeniden adlandırılır ve yürütülür. Kötü amaçlı yazılımın kendisi, sistemden kaldırılmasını engellemek için Microsoft’un sanal asistanı Cortana kılığına girmeye çalışıyor.
Kötü amaçlı yazılımın arkasındaki grup, dağıtım hacmi ve kampanyanın amacı şu anda bilinmiyor.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
