8296 подписчиков

Пользователей предупредили о новом вредоносном ПО Python RAT, атакующем Windows

25 января 202325 янв 2023

1 мин

Эксперты компании по кибербезопасности Securonix обнаружено использование киберпреступниками нового вредоносного ПО на базе Python с возможностями трояна удаленного доступа (RAT), которое предоставляет его операторам контроль над взломанными пользовательскими системами, сообщает Bleeping Computer.

Исследователи компании Securonix отмечают, что этот RAT активно развивается, поскольку специалисты видели несколько его версий с августа 2022 года, когда началась киберпреступная кампания PY#RATION.

Вредоносное ПО PY#RATION распространяется с помощью фишинговой кампании, в которой применяются защищенные паролем вложения ZIP-файлов, содержащие два ярлыка .LNK, замаскированные под изображения, а именно front.jpg.lnk и back.jpg.lnk.

При запуске ярлыков пользователь видит лицевую и оборотную стороны водительского удостоверения. Однако вредоносный код также выполняется для связи с сервером управления и контроля злоумышленников, а также для загрузки двух файлов .TXT («front.txt» и «back.txt»), которые в результате переименовываются в файлы BAT для обеспечения выполнения вредоносного ПО.

При запуске вредонос создаёт каталоги «Cortana» и «Cortana/Setup» во временном каталоге пользователя, после чего скачивает, распаковывает и запускает дополнительные исполняемые файлы из этого расположения. Постоянство присутствия в системе пользователя устанавливается путем добавления пакетного файла (‘CortanaAssist.bat’) в каталог запуска. Использование Cortana, личного помощника Microsoft в Windows, направлено на то, чтобы замаскировать записи вредоносного ПО под системные файлы.

Вредоносное ПО, доставленное к цели, представляет собой Python RAT, упакованный в исполняемый файл с применением автоматических упаковщиков, таких как «pyinstaller» и «py2exe», которые способны конвертировать код Python в исполняемые файлы Windows, и включающие включают все библиотеки, требуемые для его выполнения.