Les chercheurs en cybersécurité de Securonix ont récemment découvert un nouveau logiciel malveillant basé sur Python, capable de voler des fichiers et d’enregistrer les frappes au clavier à partir des terminaux concernés.
Surnommé PY#RATION, le malware est apparemment activement développé, les chercheurs ayant repéré plusieurs versions depuis août 2022. Le malware utilise le protocole WebSocket pour atteindre le serveur de commande et de contrôle (C2), obtenir des instructions et potentiellement extraire des données sensibles. .
Securonix affirme que le logiciel malveillant « exploite le framework Socket.IO intégré de Python, qui fournit des fonctionnalités à la communication WebSocket client et serveur ». Le logiciel malveillant utilise ce canal pour extraire des données et recevoir des commandes. L’avantage de WebSocket, selon la publication, est qu’il permet au malware de recevoir et d’envoyer des données via une seule connexion TCP, via des ports couramment ouverts, en même temps.
Fonctionnalités multiples
Les chercheurs ont également déclaré que les attaquants utilisaient la même adresse C2 tout ce temps. Étant donné que l’adresse n’est pas encore bloquée sur le système de vérification IPVoid, les chercheurs ont supposé que PY#RATION volait sous le radar pendant des mois.
Les fonctionnalités de PY#RATION incluent, entre autres, l’énumération du réseau, le transfert de fichiers vers et depuis le C2, l’enregistrement des frappes, l’exécution de commandes shell, l’énumération des hôtes, l’exfiltration des cookies, l’exfiltration des mots de passe stockés dans le navigateur et le vol de données du presse-papiers.
Pour distribuer le malware, les attaquants utilisent le bon vieux courrier électronique de phishing. L’e-mail est livré avec une archive .ZIP protégée par mot de passe qui, une fois décompressée, fournit deux fichiers de raccourci, conçus pour ressembler à des fichiers image – front.jpg.lkn et back.jpg.lnk.
Les noms de fichier « recto » et « verso » font référence au recto et au verso d’un permis de conduire inexistant. Si les victimes cliquent sur les fichiers, elles obtiendront deux autres fichiers téléchargés sur Internet – front.txt et back.txt. Ceux-ci sont ensuite renommés en fichiers .bat et exécutés. Le malware lui-même essaie de se déguiser en Cortana, l’assistant virtuel de Microsoft, pour décourager sa suppression du système.
Le groupe derrière le logiciel malveillant, le volume de distribution et l’objectif de la campagne sont tous inconnus pour le moment.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)