专家们发现了一个功能齐全的信息窃取器，在 Python 包索引 (PyPI) 中被标记为“Colour-Blind”。

Kroll 的网络威胁情报团队的研究人员发现了一个上传到Python包索引(PyPI)的恶意Python包，其中包含一个功能齐全的信息窃取程序和被跟踪为Colour-Blind的远程访问木马。

以下是 RAT 通过控制接口支持的功能列表，包括：

• 令牌：将通过 electron.io 使用 chromium 或直接将 chromium 作为应用程序框架的几个应用程序的登录令牌转储到屏幕，一个著名的例子是 Discord。
• 密码：将从网络浏览器中提取的密码转储到屏幕
• Cookies：将所有浏览器 cookies 转储到屏幕
• 键：转储到键记录器捕获的数据到屏幕
• 应用程序：提供正在运行的应用程序列表和一个终止它们的按钮
• 数据转储：将所有捕获的数据发送到 C2 URL
• 屏幕：显示用户桌面的屏幕截图，并允许进行基本的交互，例如按键
• IP：查找IP信息并将其显示到屏幕（使用与之前不同的功能）
• 打开浏览器：打开浏览器到给定的网页
• 运行：通过操作系统运行命令
• 文本输入：向机器发送击键
• Phantom/Metamask：窃取加密货币钱包信息

恶意包名为colourfool。专家指出，Colour-Blind恶意软件允许威胁行为者根据共享源代码开发自己的变体。

该软件包包含一个值得注意的Python文件，这是一个很大的“setup.py”，在被发现前四天被修改过。该脚本被开发为从远程服务器下载文件，然后静默执行它。 

专家们注意到在提供用于下载恶意软件的URL的函数中存在一些可疑之处。

“它试图从pastebin[.]com片段中获取URL，但失败后返回了一个硬编码的discord内容分发网络 URL。在合法系统中，使用硬编码URL来“即时”下载可执行资源并不常见。”。

第二阶段存档仅包含一个文件“code.py”，大小超过300千字节 (KB)。

第二个脚本包括多个模块，允许恶意软件进行恶意活动，例如键盘记录、窃取cookie和禁用安全产品。

该恶意软件执行一些检查以避免在沙箱中执行，但它有轻微的混淆。该恶意软件通过将名为“Essentials.vbs”的Visual Basic (VB)脚本添加到用户“开始菜单”中的“启动”文件夹来保持持久性。

该恶意软件依靠匿名文件传输服务“transfer[.]sh”来泄露被盗数据。

“该恶意软件会触发多个子进程，包括用于cookie、密码和加密货币钱包盗窃的线程。” 继续报告。“作为一种远程控制方法，恶意软件启动了一个 Flask Web 应用程序，它可以通过Cloudflare的反向隧道实用程序“cloudflared”访问互联网，绕过任何入站防火墙规则。”

Kroll强调，Colour-Blind恶意软件支持的有趣功能可以很容易地用Python等现代语言编写。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4690.html