Si chiama PyXie un nuovo RAT (Remote Access Trojan) scoperto dai ricercatori di BlackBerry Cylance e in grado di compiere attacchi mirati su target appartenenti soprattutto a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio.
Subito dopo aver infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevoli:
- rubare credenziali di accesso della vittima;
- effettuare operazioni di keylogging;
- registrare video ambientali;
- monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
- eseguire altri payload malevoli;
- avviare una connessione da remoto alla macchina infetta;
- distribuire altri malware.
PyXie si configura, quindi, come una pericolosa cyber arma in mano ai criminal hacker che possono sfruttarla per portare a termine campagne di cyber spionaggio e cyber sabotaggio.
Indice degli argomenti
Tutti i passaggi di un attacco col trojan PyXie
Il codice malevolo di PyXie è stato scritto interamente in Python e le prime tracce risalgono al 2018, anche se solo negli ultimi giorni i ricercatori hanno osservato un picco di attività segno che i criminal hacker hanno iniziato ad usarlo per colpire le vittime designate.
La catena infettiva di PyXie può essere suddivisa in tre fasi principali.
Nella prima fase, il trojan PyXie utilizza una tecnica di sideloading (letteralmente “caricamento di lato”, ma traducibile più correttamente con “trasferimento locale”) che gli consente di sfruttare applicazioni legittime già installate sulla macchina della vittima per caricare i componenti malevoli necessari a completare questa prima fase infettiva del malware.
In particolare, PyXie prova a scaricare una libreria DLL dannosa utilizzando alternativamente due processi legittimi in esecuzione sul PC target e associati ai servizi LogMeIn e Google Update:
- LmiGuardianDLL.dll, caricato da un file binario (LmiGuardianSvc.exe) firmato da LogMeIn;
- Goopdate.dll caricato da un file binario (GoogleUpdate.exe) firmato da Google.
Compito della DLL è quello di individuare il payload cifrato AES-128 del trojan PyXie. Il “carico utile” viene quindi decriptato in modalità CBC (Cipher Block Chaining Mode) e il suo codice viene mappato in memoria nello spazio di indirizzi corrispondente al processo utilizzato per il download della libreria DLL per poi essere eseguito.
Nella seconda fase della catena infettiva il trojan PyXie si installa automaticamente: il loader e il corrispondente payload vengono copiati nella directory %APPDATA% all’interno di una delle seguenti sottocartelle, se già presenti: Wireshark, WinRAR, TeamViewer, Notepad+++, Mozilla, Apple Computer, AnyDesk o altre.
Subito dopo viene generato un codice univoco (fingerprint) in funzione dell’hardware della macchina: tale codice sarà utile al malware per compiere altre operazioni tra cui la generazione di una nuova chiave di cifratura.
In questa fase, PyXie tenta anche di aumentare i propri privilegi in modo da riuscire a prendere il pieno controllo della macchina infetta.
Il trojan, a questo punto, si preoccupa anche di garantirsi la persistenza nel sistema infetto cancellando tutte le sue attività dal Service Control Manager.
Nella terza e ultima fase della catena infettiva di PyXie viene avviato un downloader identificato come Cobalt Mode dai ricercatori di sicurezza che ne hanno analizzato il codice, in grado di:
- connettersi a un server di comando e controllo (C&C) su protocollo HTTP/HTTPS;
- scaricare un payload cifrato;
- decifrare il payload;
- mappare ed eseguire il payload;
- generare un nuovo processo per l’iniezione di nuovo codice malevolo.
Come difendersi da un possibile attacco
Le caratteristiche tecniche analizzate finora rendono PyXie difficile da identificare nelle macchine infette. Al momento, comunque, non sono state individuate attività malevoli in Italia anche se potrebbe essere solo questione di tempo.
Dalle analisi compiute dai ricercatori di sicurezza è emerso che durante le sue attività il trojan PyXie tenta di connettersi ai seguenti domini:
- tedxns [.] com
- benreat [.] com
- planlamaison [.] com
- sarymar [.] com
- teamchuan [.] com
- c1oudflare [.] com
- athery [.] bit
- babloom [.] bit
- floppys [.] bit
Eventuali connessioni in uscita verso questi domini potrebbero servire come campanelli di allarme per una possibile avvenuta infezione.
Gli amministratori di sistema possono inoltre fare riferimento agli indici di compromissione (IoC) pubblicati dal CERT-PA per individuare e bloccare eventuali attività sospette.
Certamente, poi, un buon antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.
Il consiglio per tutte le aziende, infine, è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.