Οι ερευνητές της Securonix ανακάλυψαν ένα νέο κακόβουλο λογισμικό για Windows με λειτουργίες RAT (Remote Access Trojan), το οποίο ονομάζεται PY#RATION και μπορεί να αναλάβει τον έλεγχο της συσκευής σας από απόσταση και να εκτελέσει διάφορες δραστηριότητες, συμπεριλαμβανομένης της κλοπής δεδομένων. Μετά την ανάλυση του κώδικα, εντοπίστηκε η πλήρης λειτουργικότητα. Η κύρια συμβουλή είναι προφανώς η χρήση μιας λύσης ασφαλείας που ανιχνεύει και αποκλείει αυτού του είδους τις απειλές.
Το PY#RATION γράφτηκε σε Python, μια γλώσσα που χρησιμοποιείται όλο και περισσότερο από τους hackers, καθώς προσφέρει υποστήριξη πολλαπλών πλατφορμών και η δημιουργία ενός εκτελέσιμου αρχείου για Windows είναι μια απλή εργασία. Η έκδοση 1.0 ανακαλύφθηκε τον Αύγουστο του 2022. Οι ερευνητές της Securonix ανέλυσαν τον κώδικα της έκδοσης 1.6.
Η αλυσίδα μόλυνσης περιλαμβάνει αρχικά την αποστολή ηλεκτρονικών μηνυμάτων phishing με συνημμένο αρχείο ZIP. Μέσα στο προστατευμένο με κωδικό πρόσβασης αρχείο (1988) υπάρχουν δύο αρχεία LNK που μοιάζουν με εικόνες JPG. Η εκκίνηση των αρχείων έρχεται σε επαφή με τον απομακρυσμένο διακομιστή, από τον οποίο κατεβαίνουν αρχεία TXT, που μετατρέπονται αμέσως σε αρχεία BAT, τα οποία αποθηκεύονται στον κατάλογο Temp των Windows.
Ο χρήστης θα δει δύο εικόνες (μπροστινό και πίσω μέρος της άδειας οδήγησης) στην οθόνη, αλλά στο παρασκήνιο θα ξεκινήσει το επόμενο βήμα. Το ένα από τα δύο αρχεία BAT κατεβάζει ένα τρίτο αρχείο BAT, το οποίο με τη σειρά του κατεβάζει τρία άλλα αρχεία: unrar.cert, setup.rar και assist.rar. Το πρώτο αποκωδικοποιείται σε unrar.exe από το εργαλείο certutil.exe και χρησιμοποιείται για την εξαγωγή των περιεχομένων των δύο αρχείων RAR, δηλαδή των αρχείων CortanaAssistance.exe (PY#RATION) και ctask.exe.
Το κακόβουλο λογισμικό μπορεί να σαρώνει το δίκτυο, να μεταφέρει αρχεία στον απομακρυσμένο διακομιστή, να καταγράφει πληκτρολογήσεις, να εκτελεί εντολές shell, να κλέβει κωδικούς πρόσβασης και cookies από το πρόγραμμα περιήγησης και να εντοπίζει το εγκατεστημένο λογισμικό προστασίας από ιούς. Η επικοινωνία με τον απομακρυσμένο διακομιστή γίνεται μέσω του πρωτοκόλλου WebSocket, το οποίο προσφέρει αμφίδρομη επικοινωνία, σε αντίθεση με τα πρωτόκολλα HTTP και HTTPS.
