I ricercatori di sicurezza informatica della società di analisi delle minacce Securonix hanno scoperto un nuovo malware che consentirebbe agli attaccanti di rubare file sensibili e registrare sequenze di tasti dai dispositivi infettati: soprannominato PY#RATION, è scritto in linguaggio Python e ha funzionalità RAT (Remote Access Trojan).
Indice degli argomenti
La catena d’infezione di PY#RATION
Secondo l’analisi, la catena d’infezione suddivisa in tre fasi inizierebbe attraverso tecniche di phishing convenzionali con una e-mail contenente un archivio ZIP protetto da password.
L’archivio decompresso visualizza due file link (“front.jpg.lkn” e “back.jpg.lnk”). Quando eseguiti, questi due link mostrano il fronte e il retro di una patente di guida di una presunta cittadina britannica, scaricando anche due nuovi file .txt (front.txt e back.txt), successivamente rinominati in file .bat ed eseguiti per avviare le prossime fasi con il rilascio definitivo del codice malevolo: un eseguibile mascherato da assistente virtuale Cortana (CortanaAssistence.exe).
La persistenza viene stabilita rilasciando un file .bat “CortanaAssist.bat” nella directory di avvio dell’utente locale, causandone in tal modo l’esecuzione ad ogni avvio del sistema.
Il RAT Python è racchiuso in un eseguibile che utilizza programmi di compressione automatizzati come “pyinstaller” e “py2exe” per convertire il codice Python in eseguibili Windows all-in-one.
PY#RATION, le peculiarità
Come già accennato, PY#RATION è un malware basato su Python che mostra un comportamento simile a un RAT per mantenere il controllo dell’host colpito e possiede varie capacità e funzionalità tra le quali:
- il trasferimento di file da e verso il server C2;
- l’enumerazione della rete;
- l’esecuzione dei comandi shell;
- il keylogging;
- il furto delle password memorizzate nel browser;
- l’enumerazione degli host;
- il furto dei dati degli appunti;
- l’esfiltrazione dei cookie;
- la capacità di eludere il rilevamento delle soluzioni di sicurezza di rete e dei programmi antivirus (l’ultima versione del payload v1.6.0 verrebbe al momento rilevata da un solo motore antivirus elencato su Virus Total).
Tuttavia, la particolarità principale consisterebbe nell’utilizzo del WebSocket per l’esfiltrazione e la comunicazione con il server C2 dell’attaccante (l’indirizzo IP C2 “169[.]239.129.108” in uso non verrebbe ancora rilevato dal sistema di controllo IPVoid).
In particolare, sfruttando il framework Socket.IO, integrato su Python, che facilita le comunicazioni WebSocket tra client e server, il malware riuscirebbe a estrarre dati e ricevere comandi su una singola connessione TCP in modalità full-duplex (possibilità non disponibile su una connessione http/https standard).
Conclusioni
La relativa difficoltà di rilevamento, la compatibilità di esecuzione sui sistemi Windows, OSX e Linux, la funzionalità all-in-one e la crittografia Python (fernet) rendono PY#RATION un malware estremamente flessibile e pericoloso.
Tuttavia, i ricercatori Securonix oltre a ritenere che questo malware sia ancora in fase di sviluppo attivo poiché avrebbero rilevato più versioni dall’agosto 2022, sostengono anche che l’entità della diffusione, gli obiettivi e la matrice della campagna non siano ancora chiaramente noti.
In ogni caso, come strumenti di difesa valgono sempre e comunque le solite raccomandazioni di contrasto valide per il phishing e il malspam, evitando di aprire link ed allegati, in particolare facendo particolare attenzione ai formati .zip, .iso e .img.
Agli amministratori di sistema si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli IoC (indicatori di compromissione) pubblicati da Securonix.
