PY#RACIÓN RATA
Una nueva campaña de ataque ha sido atrapada en la naturaleza. La operación amenazante utiliza un nuevo malware basado en Python denominado PY#RATION RAT. Como suele ser el caso con estos troyanos de acceso remoto (RAT), PY#RATION tiene un conjunto integral de capacidades dañinas, que incluyen la filtración de datos y el registro de teclas. Lo que hace que esta amenaza sea particularmente única es su uso de WebSockets para la comunicación y exfiltración de Comando y Control (C2, C&C), así como su capacidad para evadir la detección de las soluciones antimalware y las medidas de seguridad de la red.
Los detalles sobre PY#RATION RAT han sido revelados en un informe de investigadores de ciberseguridad. Según sus hallazgos, los ciberdelincuentes detrás de la amenaza se concentran principalmente en objetivos en el Reino Unido o América del Norte, a juzgar por los señuelos de phishing utilizados como parte del ataque.
La cadena de ataque de PY#RATION
El ataque comienza con un correo electrónico de phishing engañoso que contiene un archivo ZIP. Dentro del archivo hay dos archivos de accesos directos (.LNK), que se hacen pasar por las imágenes frontal y posterior de una licencia de conducir del Reino Unido supuestamente genuina. Al abrir cada uno de estos archivos .LNK, se recuperan dos archivos de texto de un servidor remoto y luego se guardan como archivos .BAT.
Mientras que a la víctima se le muestran las imágenes de señuelo, los archivos dañinos se ejecutan silenciosamente en el fondo del sistema. Además, se descarga otro script por lotes del servidor C2 que obtiene otras cargas útiles, incluido un binario de Python llamado 'CortanaAssistance.exe'. El uso de Cortana, el asistente virtual de Microsoft, implica que los atacantes pueden haber intentado disfrazar su código corrupto como un archivo de sistema legítimo.
Capacidades dañinas de PY#RATION RAT
Se han detectado dos versiones del troyano PY#RATION (versión 1.0 y 1.6). La versión más nueva incluye casi 1000 líneas de código adicional, que agrega funciones de escaneo de red para examinar las redes comprometidas y una capa de cifrado sobre el código Python usando el módulo fernet. Además, la amenaza puede transferir archivos desde el host violado a su servidor C2 y viceversa.
La RAT puede comenzar a registrar pulsaciones de teclas, ejecutar comandos del sistema, extraer contraseñas y cookies de navegadores web, capturar datos del portapapeles y detectar la presencia de software de seguridad. Los actores de amenazas pueden utilizar PY#RATION como puerta de enlace para implementar las cargas útiles de otras amenazas, como otro ladrón de información basado en Python creado explícitamente para recolectar datos de navegadores web y billeteras de criptomonedas.
