Los investigadores de ciberseguridad han descubierto una nueva campaña de ataque basada en Python que aprovecha un troyano de acceso remoto (RAT) basado en Python para obtener el control de los sistemas comprometidos desde al menos agosto de 2022.
«Este malware es único en su utilización de WebSockets para evitar la detección y tanto para la comunicación de mando y control (C2) como para la exfiltración», Securonix dicho en un informe compartido con The Hacker News.
El malware, denominado PY#RATION por la firma de ciberseguridad, viene con una serie de capacidades que permiten al actor de amenazas recopilar información confidencial. Las versiones posteriores de la puerta trasera también tienen técnicas anti-evasión, lo que sugiere que se está desarrollando y manteniendo activamente.
El ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP que, a su vez, alberga dos archivos de acceso directo (.LNK) que se hacen pasar por imágenes del anverso y el reverso de una licencia de conducir del Reino Unido aparentemente legítima.
Al abrir cada uno de los archivos .LNK, se recuperan dos archivos de texto de un servidor remoto que posteriormente se renombran como archivos .BAT y se ejecutan sigilosamente en segundo plano, mientras que la imagen del señuelo se muestra a la víctima.
También se descarga de un servidor C2 otro script por lotes que está diseñado para recuperar cargas útiles adicionales del servidor, incluido el binario de Python («CortanaAssistance.exe»). La elección de usar Cortana, el asistente virtual de Microsoft, indica un intento de hacer pasar el malware como un archivo del sistema.
Se han detectado dos versiones del troyano (versión 1.0 y 1.6), con casi 1000 líneas de código añadidas a la variante más nueva para admitir funciones de escaneo de red para realizar un reconocimiento de la red comprometida y ocultar el código de Python detrás de una capa de cifrado usando el modulo de fernet.
Otras funcionalidades dignas de mención comprenden la capacidad de transferir archivos del host a C2 o viceversa, registrar pulsaciones de teclas, ejecutar comandos del sistema, extraer contraseñas y cookies de navegadores web, capturar datos del portapapeles y verificar la presencia de software antivirus.
Además, PY#RATION funciona como una vía para implementar más malware, que consiste en otro ladrón de información basado en Python diseñado para desviar datos de navegadores web y billeteras de criptomonedas.
Los orígenes del actor de amenazas siguen siendo desconocidos, pero la naturaleza de los señuelos de phishing postula que los objetivos previstos probablemente podrían ser el Reino Unido o América del Norte.
«El malware PY#RATION no solo es relativamente difícil de detectar, el hecho de que sea un binario compilado en Python lo hace extremadamente flexible, ya que se ejecutará en casi cualquier objetivo, incluidas las variantes de Windows, OSX y Linux», los investigadores Den Iuzvyk, Tim Peck, y Oleg Kolesnikov dijo.
«El hecho de que los actores de amenazas aprovecharan una capa de cifrado fernet para ocultar la fuente original agrava la dificultad de detectar cadenas maliciosas conocidas».