Támad a pythonos vírus

​Egy veszélyes, komplex támadások végrehajtására alkalmas trójai program a Pythonban rejlő lehetőségeket igyekszik a saját javára fordítani.
 

A PY#RATION trójai neve arra utal, hogy a fertőzése során használt egyik alapvető komponense Pythonban íródott. A kártevő ugyan nem teljesen új, mivel a legutóbbi vizsgálatok szerint már tavaly augusztusban is fertőzött, de a Securonix biztonsági kutatói úgy látják, hogy egyre intenzívebb és kifinomultabb módon támad, ahogy az újabb és újabb variánsai jelennek meg. Mindez azt is jelenti, hogy a mögötte álló vírusterjesztők meglehetősen aktívan fejlesztik a szerzeményüket. Ez pedig már csak azért is aggasztó, mivel az eddigi variánsok detektálási aránya sem éppen kecsegtető, azaz a károkozó meglehetősen hatékonyan képes átjutni a védelmi vonalakon.
 
A PY#RATION egy meglehetősen bonyolult fertőzési lánc mentén igyekszik térdre kényszeríteni a kiszemelt rendszereket. Általában adathalász levelekben terjed, amelyek közül a legtöbb egy-egy jelszóval védett, ZIP-állományt tartalmaz. A ZIP-fájlban pedig két, LNK-kiterjesztésű csatolmány található, például front.jpg.lnk és back.jpg.lnk néven. Amennyiben ezeket a felhasználó megnyitja, akkor két jogosítványkép jelenik meg a képernyőn, de a háttérben eközben a kártevő aktív, és egy vezérlőszerverről további állományokat szerez be egyebek mellett 'front.txt' és 'back.txt' néven. Ezeket átnevezi .bat kiterjesztésűre, és lefuttatja azokat. Ezzel kezdetét veszi a következő fertőzési fázis, aminek során további fájlok letöltése történik meg. Az Indítópultba pedig bekerül egy 'CortanaAssist.bat' nevű fájlra mutató hivatkozás. A kártevő ezzel biztosítja a perzisztens jelenlétét.
 
A PY#RATION károkozásra alkalmas kódjait a vírusírók EXE-fájlként készítik el (pyinstaller vagy py2exe révén). Ezzel ugyan a fájlméret megnő (14-32 MB), de a víruskeresők kisebb valószínűséggel riasztanak.
 
A kártékony program jelenlegi variánsának legfontosabb funkciói:
  • hálózatfelderítés
  • fájlátvitel
  • billentyűleütések naplózása
  • parancssoros műveletek végrehajtása
  • webböngészőkből történő adatok (hitelesítő adatok, cookie-k) kinyerése - (Chrome, Brave, Opera, Edge kompatibilitással)
  • vágólap tartalmának lementése
 
A PY#RATION további fontos jellemzője, hogy a vezérlőszerverével WebSocket alapon is képes kommunikálni, de ha ez nem működne, akkor még mindig alkalmas a TCP-alapú adatátvitelre a 80-as és a 443-as portokon keresztül.
Vélemények
 
  1. 4

    A cURL több biztonsági hiba miatt szorul frissítésre.

  2. 3

    Az OpenSSH fejlesztői két biztonsági rendellenességről számoltak be.

  3. 1

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokban.

 
Partnerhírek
​ChatGPT mint fegyver?

Az ESET szerint elhárulnak a nyelvi akadályok a csalók elől, de azért marad 10 árulkodó jel.

Folytatják kibertámadásaikat az orosz hackercsoportok

Az Oroszországhoz köthető APT-csoportok folyamatosan indítják kibertámadásaikat Ukrajna ellen törlőprogramok és zsarolóvírusok felhasználásával.

hirdetés
Közösség