Los investigadores de seguridad cibernética de Securonix descubrieron recientemente un nuevo malware basado en Python que es capaz de robar archivos y registrar pulsaciones de teclas desde los puntos finales afectados.
Apodado PY#RATION, el malware aparentemente se está desarrollando activamente, y los investigadores detectaron múltiples versiones desde agosto de 2022. El malware usa el protocolo WebSocket para comunicarse con el servidor de comando y control (C2), obtener instrucciones y potencialmente extraer datos confidenciales. .
Securonix dice que el malware «aprovecha el marco Socket.IO incorporado de Python, que proporciona funciones para la comunicación WebSocket tanto del cliente como del servidor». El malware utiliza este canal para extraer datos y recibir comandos. La ventaja de WebSocket, afirma la publicación, es que permite que el malware reciba y envíe datos a través de una sola conexión TCP, a través de puertos comúnmente abiertos, al mismo tiempo.
Múltiples funciones
Los investigadores también dijeron que los atacantes usaron la misma dirección C2 todo este tiempo. Dado que la dirección aún no se ha bloqueado en el sistema de verificación de IPVoid, los investigadores asumieron que PY#RATION estuvo volando bajo el radar durante meses.
Las características de PY#RATION incluyen, entre otras, enumeración de red, transferencia de archivos hacia y desde el C2, registro de teclas, ejecución de comandos de shell, enumeración de host, exfiltración de cookies, exfiltración de contraseñas almacenadas en el navegador y robo de datos del portapapeles.
Para distribuir el malware, los atacantes utilizan el viejo correo electrónico de phishing. El correo electrónico viene con un archivo .ZIP protegido por contraseña que, cuando se desempaqueta, entrega dos archivos de acceso directo, diseñados para parecerse a archivos de imagen: front.jpg.lkn y back.jpg.lnk.
Los nombres de archivo «anverso» y «reverso» se refieren al anverso y reverso de una licencia de conducir inexistente. Si las víctimas hacen clic en los archivos, obtendrán dos archivos más descargados de Internet: front.txt y back.txt. Estos luego se renombran a archivos .bat y se ejecutan. El propio malware intenta disfrazarse de Cortana, el asistente virtual de Microsoft, para desalentar su eliminación del sistema.
El grupo detrás del malware, el volumen de distribución y el objetivo de la campaña son desconocidos en este momento.
Vía: BleepingComputer (se abre en una pestaña nueva)