PyRAT bazat pe Python, cu capacități multiplatformă și funcții extinse de acces la distanță

A fost dezvoltat un nou trojan de acces la distanță bazat pe Python, care vizează atât sistemele Windows, cât și Linux, cu capacități sofisticate de supraveghere și furt de date.

Malware-ul funcționează prin stabilirea unei comunicări de comandă și control prin canale HTTP necriptate, permițând atacatorilor să execute comenzi, să sustragă fișiere și să captureze capturi de ecran de la distanță.

Când este executat, începe imediat să colecteze amprentele digitale ale sistemului, colectând detalii precum tipul sistemului de operare, numele gazdei și numele de utilizator curent.

Aceste informații sunt apoi transmise serverului atacatorului, permițându-i să urmărească utilizatorii individual pe parcursul sesiunilor.

Troianul a fost compilat folosind PyInstaller versiunea 2.1 cu Python 2.7, ascunzând codul său rău intenționat în ceea ce părea a fi un fișier executabil legitim.

Malware-ul realizează persistența în mod diferit, în funcție de sistemul de operare. Pe sistemele Linux, creează o intrare autostart înșelătoare la ~/.config/autostart/dpkgn.desktop, folosind un nume care imită instrumentele legitime ale pachetului Debian pentru a evita detectarea.

Acest fișier se execută automat atunci când utilizatorii se conectează, menținând prezența malware-ului fără a necesita privilegii de administrator.

Pe sistemele Windows, adaugă o intrare în registry în cheia Run a utilizatorului curent sub numele lee, asigurând executarea automată la pornire, rămânând în același timp în limitele permisiunilor la nivel de utilizator.

Troianul comunică cu serverul său de comandă prin cereri HTTP POST de bază direcționate către anumite endpoint-uri, transmițând date de sistem în format JSON simplu, fără criptare.

Această concepție face traficul extrem de vulnerabil la monitorizarea și detectarea rețelei.

Malware-ul acceptă operațiuni extinse cu fișiere, inclusiv încărcări și descărcări nelimitate prin codificare multipart a datelor din formulare.

Poate enumera structuri întregi de directoare, modifica directoare de lucru și crea arhive ZIP pentru exfiltrarea în bloc a datelor utilizând algoritmul de compresie DEFLATE.

Funcția de captură a ecranului înregistrează întregul ecran prin modulul ImageGrab al PIL, salvând imaginile ca fișiere JPEG temporare care sunt încărcate automat pe serverul atacatorului.

Sursă: https://cybersecuritynews.com/python-based-pyrat-with-cross-platform-capabilities/