专家们发现了一个功能齐全的信息窃取器,在 Python 包索引 (PyPI) 中被标记为“Colour-Blind”。

Kroll 的网络威胁情报团队的研究人员发现了一个上传到Python包索引(PyPI)的恶意Python包,其中包含一个功能齐全的信息窃取程序和被跟踪为Colour-Blind的远程访问木马。

以下是 RAT 通过控制接口支持的功能列表,包括:

  • 令牌:将通过 electron.io 使用 chromium 或直接将 chromium 作为应用程序框架的几个应用程序的登录令牌转储到屏幕,一个著名的例子是 Discord。
  • 密码:将从网络浏览器中提取的密码转储到屏幕
  • Cookies:将所有浏览器 cookies 转储到屏幕
  • 键:转储到键记录器捕获的数据到屏幕
  • 应用程序:提供正在运行的应用程序列表和一个终止它们的按钮
  • 数据转储:将所有捕获的数据发送到 C2 URL
  • 屏幕:显示用户桌面的屏幕截图,并允许进行基本的交互,例如按键
  • IP:查找IP信息并将其显示到屏幕(使用与之前不同的功能)
  • 打开浏览器:打开浏览器到给定的网页
  • 运行:通过操作系统运行命令
  • 文本输入:向机器发送击键
  • Phantom/Metamask:窃取加密货币钱包信息

恶意包名为colourfool。专家指出,Colour-Blind恶意软件允许威胁行为者根据共享源代码开发自己的变体。

该软件包包含一个值得注意的Python文件,这是一个很大的“setup.py”,在被发现前四天被修改过。该脚本被开发为从远程服务器下载文件,然后静默执行它。 

专家们注意到在提供用于下载恶意软件的URL的函数中存在一些可疑之处。

“它试图从pastebin[.]com片段中获取URL,但失败后返回了一个硬编码的discord内容分发网络 URL。在合法系统中,使用硬编码URL来“即时”下载可执行资源并不常见。”。

第二阶段存档仅包含一个文件“code.py”,大小超过300千字节 (KB)。

第二个脚本包括多个模块,允许恶意软件进行恶意活动,例如键盘记录、窃取cookie和禁用安全产品。

该恶意软件执行一些检查以避免在沙箱中执行,但它有轻微的混淆。该恶意软件通过将名为“Essentials.vbs”的Visual Basic (VB)脚本添加到用户“开始菜单”中的“启动”文件夹来保持持久性。

该恶意软件依靠匿名文件传输服务“transfer[.]sh”来泄露被盗数据。

“该恶意软件会触发多个子进程,包括用于cookie、密码和加密货币钱包盗窃的线程。” 继续报告。“作为一种远程控制方法,恶意软件启动了一个 Flask Web 应用程序,它可以通过Cloudflare的反向隧道实用程序“cloudflared”访问互联网,绕过任何入站防火墙规则。”

Kroll强调,Colour-Blind恶意软件支持的有趣功能可以很容易地用Python等现代语言编写。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4690.html

标签