Les chercheurs en cybersécurité ont mis au jour une nouvelle campagne d’attaque qui exploite un cheval de Troie d’accès à distance (RAT) basé sur Python pour prendre le contrôle des systèmes compromis depuis au moins août 2022.
« Ce malware est unique dans son utilisation de WebSockets pour éviter la détection et à la fois pour la communication de commande et de contrôle (C2) et l’exfiltration », a déclaré Securonix dans un rapport partagé avec breachtrace.
Le malware, surnommé PY#RATION par la société de cybersécurité, est doté d’une foule de fonctionnalités qui permettent à l’acteur de la menace de récolter des informations sensibles. Les versions ultérieures de la porte dérobée intègrent également des techniques anti-évasion, ce qui suggère qu’elle est activement développée et maintenue.
L’attaque commence par un e-mail de phishing contenant une archive ZIP, qui, à son tour, héberge deux fichiers de raccourci (.LNK) qui se font passer pour des images recto et verso d’un permis de conduire britannique apparemment légitime.
L’ouverture de chacun des fichiers .LNK récupère deux fichiers texte d’un serveur distant qui sont ensuite renommés en fichiers .BAT et exécutés furtivement en arrière-plan, tandis que l’image leurre est affichée à la victime.
Également téléchargé à partir d’un serveur C2, un autre script batch est conçu pour récupérer des charges utiles supplémentaires à partir du serveur, y compris le binaire Python (« CortanaAssistance.exe »). Le choix d’utiliser Cortana, l’assistant virtuel de Microsoft, indique une tentative de faire passer le malware pour un fichier système.
Deux versions du cheval de Troie ont été détectées (version 1.0 et 1.6), avec près de 1 000 lignes de code ajoutées à la nouvelle variante pour prendre en charge les fonctionnalités d’analyse du réseau afin de procéder à une reconnaissance du réseau compromis et de dissimuler le code Python derrière une couche de cryptage à l’aide du module fernet.
D’autres fonctionnalités remarquables comprennent la possibilité de transférer des fichiers de l’hôte vers C2 ou vice versa, d’enregistrer les frappes au clavier, d’exécuter des commandes système, d’extraire les mots de passe et les cookies des navigateurs Web, de capturer les données du presse-papiers et de vérifier la présence d’un logiciel antivirus.
De plus, PY#RATION fonctionne comme une voie pour déployer plus de logiciels malveillants, qui consistent en un autre voleur d’informations basé sur Python conçu pour siphonner les données des navigateurs Web et des portefeuilles de crypto-monnaie.
Les origines de l’acteur de la menace restent inconnues, mais la nature des leurres de phishing suppose que les cibles visées pourraient probablement être le Royaume-Uni ou l’Amérique du Nord.
« Le malware PY#RATION est non seulement relativement difficile à détecter, mais le fait qu’il s’agisse d’un binaire compilé en Python le rend extrêmement flexible car il fonctionnera sur presque toutes les cibles, y compris les variantes Windows, OSX et Linux », ont déclaré les chercheurs Den Iuzvyk, Tim Peck, et Oleg Kolesnikov ont dit.
« Le fait que les acteurs de la menace aient utilisé une couche de cryptage fernet pour masquer la source d’origine complique la difficulté de détecter les chaînes malveillantes connues. »