- 9,151
- 18
- 8 Ноя 2022
Троян не обнаруживается антивирусами и извлекает всю информацию о цели.
Исследователи компании Securonix Для просмотра ссылки Войди
Эксперты назвали троян PY#RATION. Он использует протокол WebSocket для связи с сервером управления и контроля ( Для просмотра ссылки Войди
При запуске ярлыков жертва видит фотографии водительского удостоверения. В это время выполняется вредоносный код для связи с C2 и загрузки двух TXT-файлов «front.txt» и «back.txt», которые затем переименовываются в BAT-файлы для выполнения вредоносного ПО.
При запуске вредоносное ПО создает каталоги «Cortana» и «Cortana/Setup» во временном каталоге пользователя, а затем загружает, распаковывает и запускает дополнительные исполняемые файлы из этого расположения. Постоянство устанавливается путем добавления пакетного файла «CortanaAssist.bat» в каталог запуска пользователя. Использование Cortana направлено на то, чтобы замаскировать записи вредоносного ПО под системные файлы.
Цепочка заражения PY#RATION PY#RATION представляет собой [URL='/glossary/RAT/" class="glossary" data-content="Средство удаленного администрирования (Remote Administration Tool, RAT) - инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
" data-html="true" data-original-title="RAT" >RAT[/URL] -троян на основе Python, упакованный в исполняемый файл с использованием автоматических упаковщиков, таких как «pyinstaller» и «py2exe», которые могут конвертировать код Python в исполняемые файлы Windows, которые включают все библиотеки, необходимые для его выполнения.
Этот подход приводит к увеличению размера полезной нагрузки, что помогает вредоносному ПО избежать обнаружения.
Среди функций версии PY#RATION RAT следующие:
- Источник новости
- www.securitylab.ru
