ΑρχικήsecurityΤο νέο Windows trojan PyMicropsia κλέβει browser credentials

Το νέο Windows trojan PyMicropsia κλέβει browser credentials

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο trojan που κλέβει πληροφορίες, το οποίο στοχεύει Windows συστήματα. Το trojan έχει τη δυνατότητα να κλέβει browser credentials και να στοχεύει Outlook processes. Σύμφωνα με τους ερευνητές, το Windows trojan ονομάζεται PyMicropsia και έχει αναπτυχθεί από τη hacking ομάδα AridViper, η οποία συνήθως στοχεύει οργανισμούς στη Μέση Ανατολή.

Windows trojan PyMicropsia

Η AridViper είναι μια ενεργή ομάδα που συνεχίζει να αναπτύσσει νέα εργαλεία”, ανέφεραν ερευνητές της ερευνητικής ομάδας Unit42 της Palo Alto σε έκθεσή τους. “Επίσης, με βάση τα διαφορετικά τμήματα του PyMicropsia που αναλύσαμε, πολλές ενότητες του κακόβουλου λογισμικού δεν χρησιμοποιούνται ακόμη, κάτι που δείχνει ότι είναι πιθανότατα μια οικογένεια malware που βρίσκεται υπό ανάπτυξη“.

Οι δυνατότητες κλοπής πληροφοριών του trojan περιλαμβάνουν: μεταφόρτωση αρχείων, λήψη / εκτέλεση payload, κλοπή browser credentials (και δυνατότητα εκκαθάρισης ιστορικού περιήγησης και προφίλ), λήψη screenshots και keylogging. Επιπλέον, το κακόβουλο λογισμικό μπορεί να συλλέξει πληροφορίες αρχείων, να διαγράψει αρχεία, να κάνει επανεκκίνηση των Windows μηχανημάτων, να συλλέξει πληροφορίες από τη μονάδα USB, να κάνει ηχογραφήσεις, να συλλέξει Outlook .OST files και να απενεργοποιήσει διαδικασίες του Outlook.

Ένα αρχείο OST είναι ένα offline folder file στο Microsoft Outlook, το οποίο επιτρέπει στους χρήστες να εργάζονται εκτός σύνδεσης συγχρονίζοντας τις αλλαγές με τον Exchange server την επόμενη φορά που θα συνδεθούν. Τα αρχεία OST ενδέχεται να περιέχουν μηνύματα email, επαφές, εργασίες, δεδομένα ημερολογίου και άλλες πληροφορίες λογαριασμού.

Το νέο Windows Trojan PyMicropsia

Σύμφωνα με τους ερευνητές, μετά τη λήψη, το trojan αρχίζει να συλλέγει δεδομένα.

Οι επιτιθέμενοι χρησιμοποιούν τόσο built-in βιβλιοθήκες Python όσο και συγκεκριμένα πακέτα για την κλοπή πληροφοριών: π.χ. PyAudio (ενεργοποίηση κλοπής ήχου) και mss (που επιτρέπει λήψη screenshots)

Η χρήση Python built-in libraries γίνεται για πολλούς λόγους, όπως για την αλληλεπίδραση με διαδικασίες των Windows, Windows registry, networking, file system και ούτω καθεξής“, δήλωσαν οι ερευνητές.

Το PyMicropsia συνδέεται με το Micropsia, ένα άλλο malware της ομάδας AridViper, που στοχεύει, επίσης, Windows συστήματα. Οι ερευνητές παρατήρησαν ότι υπάρχουν κοινά στοιχεία κώδικα, καθώς και ότι χρησιμοποιούνται παρόμοιες τακτικές, τεχνικές και διαδικασίες (TTP) κλπ.

AridViper: Η ομάδα αναπτύσσει συνεχώς νέα εργαλεία

Ενώ ερευνούσαν τις δυνατότητες του νέου Windows trojan PyMicropsia, οι ερευνητές δήλωσαν ότι εντόπισαν δύο επιπλέον δείγματα που φιλοξενούνται στην υποδομή του εισβολέα.

Τα πρόσθετα δείγματα, τα οποία λαμβάνονται και χρησιμοποιούνται από το trojan κατά την ανάπτυξή του, παρέχουν δυνατότητες persistence και keylogging.

Επίσης, ενώ το trojan PyMicropsia έχει σχεδιαστεί για να στοχεύει μόνο Windows συστήματα, οι ερευνητές βρήκαν κομμάτια στον κώδικα που ελέγχουν άλλα λειτουργικά συστήματα (όπως “posix” ή “darwin”).

Αυτό είναι ένα ενδιαφέρον εύρημα, καθώς δεν έχουμε δει ποτέ την AridViper να στοχεύει αυτά τα λειτουργικά συστήματα και αυτό θα μπορούσε να αντιπροσωπεύει μια νέα περιοχή που οι hackers αρχίζουν να εξερευνούν“, είπαν οι ερευνητές, ενώ συμπλήρωσαν ότι θα συνεχίσουν να παρακολουθούν τις δραστηριότητες της hacking ομάδας.

Πηγή: Threatpost

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS