Windows Aygıtlarını Hedefleyen Yeni Python Kötü Amaçlı Yazılımı


Kötü amaçlı yazılım özellikleri arasında ayrıca dosya aktarımı, keylogging, tarayıcıda depolanan parolaların çalınması, pano verilerinin çalınması, tanımlama bilgilerinin çalınması ve daha fazlası bulunur.

Tehdit analizi firması Securonix’in siber güvenlik araştırmacıları, saldırganların etkilenen cihazlardan hassas dosyaları çalmasına ve tuş vuruşlarını günlüğe kaydetmesine olanak tanıyan PY#RATION adlı yeni bir kötü amaçlı yazılım keşfetti.

Kötü Amaçlı Yazılım Dağıtım Tekniği

Kötü amaçlı yazılım, e-postanın parola korumalı bir ZIP arşivi içerdiği geleneksel bir kimlik avı mekanizması aracılığıyla dağıtılır. Paketten çıkarıldığında, front.jpg.lkn ve back.jpg.lnk adlı iki kısayol görüntü dosyası görünür. Başlatıldığında, bu dosyalar var olmayan bir sürücü belgesinin önünü ve arkasını görüntüler.

Windows Aygıtlarını Hedefleyen Yeni Python Kötü Amaçlı Yazılımı
Dolandırıcılıkta kullanılan görseller (Kredi: Securonix)

Bununla birlikte, kötü amaçlı kod da yürütülür ve internetten iki yeni dosyanın indirilmesine yol açar. Bu dosyalar front.txt ve back.txt olarak adlandırılır, daha sonra .bat docs olarak yeniden adlandırılır ve yürütülür. Kötü amaçlı yazılım, sistemde kalıcılığı sağlamak için kendini Cortana sanal asistanı olarak gizler.

PY#RASYON nedir

PY#RATION, etkilenen ana bilgisayar üzerinde kontrolü sürdürmek için RAT (uzaktan erişim truva atı) benzeri bir davranış sergileyen Python tabanlı bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım, keylogging ve veri hırsızlığı gibi çeşitli yeteneklere ve işlevlere sahiptir.

Bununla birlikte, benzersiz yönü, sızma ve C2 iletişimi için WebSocket kullanması ve ağ güvenlik çözümleri ve antivirüs programları tarafından tespit edilmemesidir. İstemci ve sunucu WebSocket iletişimini kolaylaştıran Python’un yerleşik Socket.IO çerçevesinden yararlanan kötü amaçlı yazılım, aynı anda açık bağlantı noktalarından tek bir TCP bağlantısı üzerinden veri çeker ve komutlar alır.

Ayrıca Securonix tarafından yayınlanan bir blog gönderisine göre saldırganlar, IPVoid kontrol sisteminin henüz engellemediği aynı C2 adresini kullanıyor. Araştırmacılar, Ağustos 2022’den bu yana birden fazla sürüm tespit ettikleri için bu kötü amaçlı yazılımın hâlâ aktif geliştirme aşamasında olduğuna inanıyor. Kötü amaçlı yazılım, operasyonlardan WebSocket aracılığıyla talimatlar alıyor ve hassas verileri elde ediyor.

Potansiyel Tehlikeler

Bu Python RAT, Python kodunu Windows yürütülebilir dosyalarına dönüştürmek için ‘pyinstaller’ ve ‘py2exe’ gibi otomatik paketleyiciler kullanan bir yürütülebilir dosyaya paketlenmiştir. Bu, yük boyutunu artırmaya yardımcı olur (Algılanan ilk sürüm 1.0 14 MB ve son algılanan sürüm 1.6.0, 1000’den fazla satır ve ek kod içeren 32 MB’dir).

Windows Aygıtlarını Hedefleyen Yeni Python Kötü Amaçlı Yazılımı
PY#RATION python kötü amaçlı yazılımının bulaşma zinciri (Kredi: Securonix)

Araştırmacılar, yükün en son sürümünün VirusTotal’da listelenen bir antivirüs motoru dışında hiç kimse tarafından algılanmadığını iddia ediyor.

Kötü amaçlı yazılım özellikleri, C2 sunucusuna ve sunucudan dosya aktarımı, ağ numaralandırması, kabuk komutu yürütme, keylogging, tarayıcıda depolanan parolaları çalma, ana bilgisayar numaralandırma, pano verilerini çalma ve tanımlama bilgilerinin çalınmasını içerir. Bu kampanyanın arkasında kimin olduğu, dağıtım hacmi ve kampanya hedefleri hala belirsiz.

  1. Kötü Amaçlı Yazılım Bırakan Kötü Amaçlı PyPI Paketleri
  2. 6 resmi Python deposu kötü amaçlı yazılımla boğuşuyor
  3. Kötü Amaçlı Yazılım Dağıtmak İçin OpenAI’nin ChatGPT’sinden Yararlanan Bilgisayar Korsanları
  4. Bilgisayar korsanları, kötü amaçlı NPM paketleriyle kötü amaçlı yazılım yazarlarını vurur
  5. Geliştiriciler Dikkat: Kripto Adreslerini Değiştiren Paketler



Source link