Kötü amaçlı yazılım özellikleri arasında ayrıca dosya aktarımı, keylogging, tarayıcıda depolanan parolaların çalınması, pano verilerinin çalınması, tanımlama bilgilerinin çalınması ve daha fazlası bulunur.
Tehdit analizi firması Securonix’in siber güvenlik araştırmacıları, saldırganların etkilenen cihazlardan hassas dosyaları çalmasına ve tuş vuruşlarını günlüğe kaydetmesine olanak tanıyan PY#RATION adlı yeni bir kötü amaçlı yazılım keşfetti.
Kötü Amaçlı Yazılım Dağıtım Tekniği
Kötü amaçlı yazılım, e-postanın parola korumalı bir ZIP arşivi içerdiği geleneksel bir kimlik avı mekanizması aracılığıyla dağıtılır. Paketten çıkarıldığında, front.jpg.lkn ve back.jpg.lnk adlı iki kısayol görüntü dosyası görünür. Başlatıldığında, bu dosyalar var olmayan bir sürücü belgesinin önünü ve arkasını görüntüler.
Bununla birlikte, kötü amaçlı kod da yürütülür ve internetten iki yeni dosyanın indirilmesine yol açar. Bu dosyalar front.txt ve back.txt olarak adlandırılır, daha sonra .bat docs olarak yeniden adlandırılır ve yürütülür. Kötü amaçlı yazılım, sistemde kalıcılığı sağlamak için kendini Cortana sanal asistanı olarak gizler.
PY#RASYON nedir
PY#RATION, etkilenen ana bilgisayar üzerinde kontrolü sürdürmek için RAT (uzaktan erişim truva atı) benzeri bir davranış sergileyen Python tabanlı bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım, keylogging ve veri hırsızlığı gibi çeşitli yeteneklere ve işlevlere sahiptir.
Bununla birlikte, benzersiz yönü, sızma ve C2 iletişimi için WebSocket kullanması ve ağ güvenlik çözümleri ve antivirüs programları tarafından tespit edilmemesidir. İstemci ve sunucu WebSocket iletişimini kolaylaştıran Python’un yerleşik Socket.IO çerçevesinden yararlanan kötü amaçlı yazılım, aynı anda açık bağlantı noktalarından tek bir TCP bağlantısı üzerinden veri çeker ve komutlar alır.
Ayrıca Securonix tarafından yayınlanan bir blog gönderisine göre saldırganlar, IPVoid kontrol sisteminin henüz engellemediği aynı C2 adresini kullanıyor. Araştırmacılar, Ağustos 2022’den bu yana birden fazla sürüm tespit ettikleri için bu kötü amaçlı yazılımın hâlâ aktif geliştirme aşamasında olduğuna inanıyor. Kötü amaçlı yazılım, operasyonlardan WebSocket aracılığıyla talimatlar alıyor ve hassas verileri elde ediyor.
Potansiyel Tehlikeler
Bu Python RAT, Python kodunu Windows yürütülebilir dosyalarına dönüştürmek için ‘pyinstaller’ ve ‘py2exe’ gibi otomatik paketleyiciler kullanan bir yürütülebilir dosyaya paketlenmiştir. Bu, yük boyutunu artırmaya yardımcı olur (Algılanan ilk sürüm 1.0 14 MB ve son algılanan sürüm 1.6.0, 1000’den fazla satır ve ek kod içeren 32 MB’dir).
Araştırmacılar, yükün en son sürümünün VirusTotal’da listelenen bir antivirüs motoru dışında hiç kimse tarafından algılanmadığını iddia ediyor.
Kötü amaçlı yazılım özellikleri, C2 sunucusuna ve sunucudan dosya aktarımı, ağ numaralandırması, kabuk komutu yürütme, keylogging, tarayıcıda depolanan parolaları çalma, ana bilgisayar numaralandırma, pano verilerini çalma ve tanımlama bilgilerinin çalınmasını içerir. Bu kampanyanın arkasında kimin olduğu, dağıtım hacmi ve kampanya hedefleri hala belirsiz.
ALAKALI HABERLER
- Kötü Amaçlı Yazılım Bırakan Kötü Amaçlı PyPI Paketleri
- 6 resmi Python deposu kötü amaçlı yazılımla boğuşuyor
- Kötü Amaçlı Yazılım Dağıtmak İçin OpenAI’nin ChatGPT’sinden Yararlanan Bilgisayar Korsanları
- Bilgisayar korsanları, kötü amaçlı NPM paketleriyle kötü amaçlı yazılım yazarlarını vurur
- Geliştiriciler Dikkat: Kripto Adreslerini Değiştiren Paketler