I ricercatori di Securonix hanno scoperto un nuovo malware per Windows con funzionalità RAT (Remote Access Trojan), denominato PY#RATION, che consente di prendere il controllo del dispositivo da remoto ed eseguire diverse attività, tra cui il furto dei dati. Dopo aver analizzato il codice sono state individuate le complete funzionalità. Il consiglio principale è ovviamente quello di utilizzare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.
PY#RATION: analisi del malware
PY#RATION è stato scritto in Python, un linguaggio sempre più sfruttato dai cybercriminali, in quanto offre il supporto cross-platform e la creazione di un eseguibile per Windows è un’operazione banale. La versione 1.0 è stata scoperta ad agosto 2022. I ricercatori di Securonix hanno analizzato il codice della versione 1.6.
La catena di infezione prevede innanzitutto l’invio di email di phishing con un allegato ZIP. All’interno dell’archivio protetto da password (1988) ci sono due file LNK che sembrano immagini JPG. Lanciando i file viene contattato il server remoto, dal quale vengono scaricati altrettanti file TXT, immediatamente convertiti in file BAT, salvati nella directory Temp di Windows.
L’utente vedrà sullo schermo due immagini (fronte e retro di una patente), ma in background viene avviata la fase successiva. Uno dei due file BAT scarica un terzo file BAT che scarica a sua volta altri tre file: unrar.cert
, setup.rar
e assist.rar
. Il primo viene decodificato in unrar.exe
dal tool certutil.exe
e utilizzato per estrarre il contenuto dei due archivi RAR, ovvero i file CortanaAssistance.exe
(PY#RATION) e ctask.exe
.
Il malware può effettuare la scansione della rete, trasferire file al server remoto, registrare i tasti premuti, eseguire comandi di shell, rubare password e cookie dal browser. rilevare gli antivirus installati. La comunicazione con il server remoto avviene con il protocollo WebSocket, in grado di offrire una comunicazione full duplex, a differenza dei protocolli HTTP e HTTPS.