RATA daltónica

Los investigadores de seguridad cibernética han descubierto un paquete de Python amenazante cargado en el Índice de paquetes de Python (PyPI), que contiene un ladrón de información dañino y un troyano de acceso remoto (RAT). El paquete se denominó 'colourfool' y fue identificado por un equipo de investigación de seguridad, que denominó a la amenaza de malware 'Colour-Blind'.

Este incidente destaca la tendencia creciente de la ciberdelincuencia democratizada, donde los actores malintencionados pueden acceder fácilmente y reutilizar el código existente para sus propias intenciones. Los investigadores explicaron que la democratización del crimen en línea podría conducir a un panorama de amenazas intensificado, ya que los atacantes pueden crear múltiples variantes de su malware aprovechando el código de otros.

Al igual que otros módulos Python maliciosos recientes, Colour-Blind utiliza una técnica para ocultar su código incorrecto en el script de configuración. La secuencia de comandos de configuración luego apunta a una carga útil de archivo ZIP que está alojada en la plataforma legítima de Discord. Esto permite que el malware eluda la detección de algunas medidas de seguridad tradicionales, lo que dificulta su detección y eliminación.

La RAT daltónica lleva el código del juego de la 'Serpiente'

El malware utiliza un mecanismo de persistencia que consiste en agregar un script de Visual Basic (VB) llamado 'Essentials. vbs' a la carpeta 'Inicio' en el 'Menú Inicio' del usuario. Al iniciar sesión, el script VB ejecuta un archivo por lotes de Windows que el malware inyecta en la misma carpeta que 'python.exe'. Este archivo por lotes inicia el malware con Python cada vez que el usuario inicia sesión, lo que garantiza que el malware permanezca activo y presente en el sistema.

El malware tiene una función de exfiltración de archivos que aprovecha 'transfer[.]sh', un sitio web anónimo de transferencia de archivos que es cada vez más popular entre los actores de amenazas. El malware también contiene código relacionado con la ingeniería social, que genera un mensaje de error que intenta persuadir al usuario para que vuelva a ejecutar el malware como administrador. Además, el malware contiene una versión integrada del juego 'Snake' que parece ser una copia directa del código de un repositorio de GitHub. Sin embargo, este juego no tiene ningún propósito aparente y no comienza cuando se ejecuta.

El malware desencadena múltiples subprocesos, que incluyen subprocesos para recopilar cookies, contraseñas y billeteras de criptomonedas. Para habilitar el control remoto, el malware inicia una aplicación web Flask. Luego, la amenaza hace que la aplicación sea accesible a través de Internet a través de la utilidad de túnel inverso de Cloudflare llamada 'cloudflared'. Al usar este método, el malware puede eludir cualquier regla de firewall entrante y mantener una presencia persistente en el sistema comprometido.

El conjunto expansivo de capacidades amenazantes encontradas en la RAT daltónica

La RAT Colour-BLind y sus diversas funcionalidades dañinas se pueden controlar a través de la aplicación web. La función de tokens puede volcar tokens de inicio de sesión para varias aplicaciones que usan cromo a través de electron.io o cromo directamente como marco de aplicación, que incluye Discord. La función de contraseñas descarga las contraseñas extraídas de los navegadores web en la pantalla, mientras que la función de cookies descarga todas las cookies del navegador en la pantalla. La función de teclas vuelca los datos capturados a los registradores de teclas y los muestra en la pantalla.

Entre las capacidades de la RAT también se encuentra la función de aplicaciones, que proporciona una lista de las aplicaciones actualmente activas y un botón para cerrarlas. La función de volcado de datos envía todos los datos capturados a la URL de C2. La función de pantalla muestra una captura de pantalla del escritorio del usuario y permite una interacción rudimentaria, como presionar teclas. La amenaza también puede buscar información de IP y mostrarla en la pantalla usando una función diferente. Puede abrir un navegador en una página web determinada y ejecutar comandos a través del sistema operativo. La información de la billetera de criptomonedas se puede recopilar del dispositivo violado a través de la función fantasma/Metamask.

Sin embargo, Colour-Blind RAT puede realizar aún más acciones en los sistemas infectados, como usar el punto final /camera para espiar a un usuario desprevenido a través de una cámara web. También hay varios puntos finales que comienzan con 'hvnc', que se ocupan de un escritorio oculto creado en la máquina de la víctima. La función /hvncmanager permite iniciar un navegador web en este escritorio oculto. La función /hvnc se usa para abrir el escritorio oculto y permite que los actores de amenazas interactúen con él. Los actores de amenazas pueden explotar la capacidad de abrir un navegador web de una manera tan oculta para acceder o interactuar con las cuentas de Internet de la víctima. La función /hvncitem permite a los atacantes ejecutar comandos personalizados en el escritorio oculto mediante la manipulación del parámetro de URL "inicio".