PY#RATION: nuovo pericoloso malware RAT per Windows

PY#RATION: nuovo pericoloso malware RAT per Windows

PY#RATION è un malware per Windows, scritto in Python e distribuito tramite email di phishing, che può prendere il controllo del computer.
PY#RATION: nuovo pericoloso malware RAT per Windows
PY#RATION è un malware per Windows, scritto in Python e distribuito tramite email di phishing, che può prendere il controllo del computer.

I ricercatori di Securonix hanno scoperto un nuovo malware per Windows con funzionalità RAT (Remote Access Trojan), denominato PY#RATION, che consente di prendere il controllo del dispositivo da remoto ed eseguire diverse attività, tra cui il furto dei dati. Dopo aver analizzato il codice sono state individuate le complete funzionalità. Il consiglio principale è ovviamente quello di utilizzare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.

PY#RATION: analisi del malware

PY#RATION è stato scritto in Python, un linguaggio sempre più sfruttato dai cybercriminali, in quanto offre il supporto cross-platform e la creazione di un eseguibile per Windows è un’operazione banale. La versione 1.0 è stata scoperta ad agosto 2022. I ricercatori di Securonix hanno analizzato il codice della versione 1.6.

La catena di infezione prevede innanzitutto l’invio di email di phishing con un allegato ZIP. All’interno dell’archivio protetto da password (1988) ci sono due file LNK che sembrano immagini JPG. Lanciando i file viene contattato il server remoto, dal quale vengono scaricati altrettanti file TXT, immediatamente convertiti in file BAT, salvati nella directory Temp di Windows.

L’utente vedrà sullo schermo due immagini (fronte e retro di una patente), ma in background viene avviata la fase successiva. Uno dei due file BAT scarica un terzo file BAT che scarica a sua volta altri tre file: unrar.cert, setup.rar e assist.rar. Il primo viene decodificato in unrar.exe dal tool certutil.exe e utilizzato per estrarre il contenuto dei due archivi RAR, ovvero i file CortanaAssistance.exe (PY#RATION) e ctask.exe.

Il malware può effettuare la scansione della rete, trasferire file al server remoto, registrare i tasti premuti, eseguire comandi di shell, rubare password e cookie dal browser. rilevare gli antivirus installati. La comunicazione con il server remoto avviene con il protocollo WebSocket, in grado di offrire una comunicazione full duplex, a differenza dei protocolli HTTP e HTTPS.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Securonix
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
26 gen 2023
Link copiato negli appunti