Studiuesit e Securonix kanë zbuluar një malware të ri Windows me funksionalitetin RAT (Remote Access Trojan), i quajtur PY#RATION, i cili ju lejon të merrni kontrollin nga distanca të pajisjes tuaj dhe të kryeni detyra të ndryshme, duke përfshirë vjedhjen e të dhënave. Pas analizimit të kodit, u identifikua funksionaliteti i plotë. Këshilla kryesore është padyshim përdorimi i një zgjidhje sigurie që zbulon dhe bllokon këtë lloj kërcënimi.
PY# RATION: Analiza e malware
PY#RATION u shkrua në Python, një gjuhë e shfrytëzuar gjithnjë e më shumë nga kriminelët kibernetikë, pasi ofron mbështetje ndër-platformë dhe krijimi i një ekzekutuesi për Windows është një operacion i parëndësishëm. Versioni 1.0 u zbulua në gusht 2022. Studiuesit e Securonix analizuan kodin e versionit 1.6.
Zinxhiri i infeksionit së pari përfshin dërgimin e emaileve phishing me një bashkëngjitje ZIP. Brenda arkivit të mbrojtur me fjalëkalim (1988) janë dy skedarë LNK që duken si imazhe JPG. Me nisjen e skedarëve, kontaktohet serveri në distancë, nga i cili shkarkohen sa më shumë skedarë TXT, konvertohen menjëherë në skedarë BAT, të ruajtura në direktorinë Windows Temp.
Përdoruesi do të shohë dy imazhe në ekran (përpara dhe mbrapa të një licence), por faza tjetër fillon në sfond. Një nga dy skedarët BAT shkarkon një skedar të tretë BAT i cili nga ana tjetër shkarkon tre skedarë të tjerë: unrar.cert, setup.rar dhe help.rar. E para është deshifruar në unrar.exe nga mjeti certutil.exe dhe përdoret për të nxjerrë përmbajtjen e dy arkivave RAR, përkatësisht skedarët CortanaAssistance.exe (PY#RATION) dhe ctask.exe.
Malware mund të skanojë rrjetin tuaj, të transferojë skedarë në serverin në distancë, të regjistrojë goditjet e tasteve, të ekzekutojë komandat e guaskës, të vjedhë fjalëkalime dhe skedarë skedarë nga shfletuesi juaj. zbuloni antivirusin e instaluar. Komunikimi me serverin në distancë bëhet me protokollin WebSocket, i cili është në gjendje të ofrojë komunikim të plotë dupleks, ndryshe nga protokollet HTTP dhe HTTPS.
Discussion about this post