Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de ataque basada en Python que aprovecha un troyano de acceso remoto (RAT) basado en Python para obtener el control de los sistemas comprometidos desde al menos agosto de 2022.<\/p>\n
“Este malware es \u00fanico en su utilizaci\u00f3n de WebSockets<\/a> para evitar la detecci\u00f3n y tanto para la comunicaci\u00f3n de mando y control (C2) como para la exfiltraci\u00f3n”, Securonix dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n El malware, denominado PY#RATION por la firma de ciberseguridad, viene con una serie de capacidades que permiten al actor de amenazas recopilar informaci\u00f3n confidencial. Las versiones posteriores de la puerta trasera tambi\u00e9n tienen t\u00e9cnicas anti-evasi\u00f3n, lo que sugiere que se est\u00e1 desarrollando y manteniendo activamente.<\/p>\n El ataque comienza con un correo electr\u00f3nico de phishing que contiene un archivo ZIP que, a su vez, alberga dos archivos de acceso directo (.LNK) que se hacen pasar por im\u00e1genes del anverso y el reverso de una licencia de conducir del Reino Unido aparentemente leg\u00edtima.<\/p>\n Al abrir cada uno de los archivos .LNK, se recuperan dos archivos de texto de un servidor remoto que posteriormente se renombran como archivos .BAT y se ejecutan sigilosamente en segundo plano, mientras que la imagen del se\u00f1uelo se muestra a la v\u00edctima.<\/p>\n Tambi\u00e9n se descarga de un servidor C2 otro script por lotes que est\u00e1 dise\u00f1ado para recuperar cargas \u00fatiles adicionales del servidor, incluido el binario de Python (“CortanaAssistance.exe”). La elecci\u00f3n de usar Cortana, el asistente virtual de Microsoft, indica un intento de hacer pasar el malware como un archivo del sistema.<\/p>\n Se han detectado dos versiones del troyano (versi\u00f3n 1.0 y 1.6), con casi 1000 l\u00edneas de c\u00f3digo a\u00f1adidas a la variante m\u00e1s nueva para admitir funciones de escaneo de red para realizar un reconocimiento de la red comprometida y ocultar el c\u00f3digo de Python detr\u00e1s de una capa de cifrado usando el modulo de fernet<\/a>.<\/p>\n Otras funcionalidades dignas de menci\u00f3n comprenden la capacidad de transferir archivos del host a C2 o viceversa, registrar pulsaciones de teclas, ejecutar comandos del sistema, extraer contrase\u00f1as y cookies de navegadores web, capturar datos del portapapeles y verificar la presencia de software antivirus.<\/p>\n Adem\u00e1s, PY#RATION funciona como una v\u00eda para implementar m\u00e1s malware, que consiste en otro ladr\u00f3n de informaci\u00f3n basado en Python dise\u00f1ado para desviar datos de navegadores web y billeteras de criptomonedas.<\/p>\n Los or\u00edgenes del actor de amenazas siguen siendo desconocidos, pero la naturaleza de los se\u00f1uelos de phishing postula que los objetivos previstos probablemente podr\u00edan ser el Reino Unido o Am\u00e9rica del Norte.<\/p>\n “El malware PY#RATION no solo es relativamente dif\u00edcil de detectar, el hecho de que sea un binario compilado en Python lo hace extremadamente flexible, ya que se ejecutar\u00e1 en casi cualquier objetivo, incluidas las variantes de Windows, OSX y Linux”, los investigadores Den Iuzvyk, Tim Peck, y Oleg Kolesnikov dijo.<\/p>\n “El hecho de que los actores de amenazas aprovecharan una capa de cifrado fernet para ocultar la fuente original agrava la dificultad de detectar cadenas maliciosas conocidas”.<\/p>\n <\/p>\n