edición general
128 meneos
2265 clics
PyXie, la nueva amenaza que entrega el control de tu PC

PyXie, la nueva amenaza que entrega el control de tu PC

Los piratas informáticos suelen poner sus miras en aquello que cuenta con más usuarios. Eso es, por ejemplo, el caso de Windows. Hoy nos hacemos eco de una nueva amenaza que afecta al sistema operativo de Microsoft. Se trata de PyXie, un troyano capaz de tomar el control del sistema y poder distribuir otras amenazas. Se trata de una RAT basada en Python que puede lograr privilegios de administrador y poner en riesgo la seguridad y privacidad de los usuarios.

| etiquetas: pyxie , troyano , windows
63 65 0 K 261 tecnología
12 comentarios
63 65 0 K 261 tecnología
  1. niramle #1 niramle *
    para que se ejecute, se necesitara tener el python 2 o 3 en la maquina, verdad? no creo que el usuario medio lo tenga, a menos que el malware lo instale a priori xD
    1 K 15
  2. A_D #2 A_D *
    #1 señala la fuente original que está compilado como ejecutable:

    "According to cylance research, PyXie has various key features of the following:

    1. Legitimate LogMeIn and Google binaries used to sideload payloads.
    2. A Trojanized Tetris app to load and execute Cobalt Strike stagers 3. from internal network shares.
    4. Use of a downloader with similarities to Shifu named “Cobalt Mode”.
    5. Use of Sharphound to collect active directory information from victims.
    6. A custom compiled Python interpreter that uses scrambled opcodes to hinder analysis.
    7. Use of a modified RC4 algorithm to encrypt payloads with a unique key per infected host...

    At the final stage, PyXie RAT compiled into executable, In this case, the malware authors compiled their own Python interpreter that loads an archive containing the PyXie RAT bytecode from memory. "

    gbhackers.com/python-rat/
    3 K 40
  3. #3 --569461--
    Ah pues mira, a ver si utiliza ese control para encontrarme buen porno.
    1 K 14
  4. pieróg #4 pieróg
    #2 esto tiene que pesar un cojón
    0 K 7
  5. Rorschach_ #5 Rorschach_
    Primero fueron Bonnie and Clyde... ahora tenemos a Pyxie y pronto Dyxie. :troll:
    0 K 15
  6. #6 --625430--
    #1 Existen cosas como py2exe.
    0 K 7
  7. Jakeukalane #7 Jakeukalane
    Mi no entender.
    Afecta sólo a Windows pero el target son instalaciones de python 2 / python 3 aunque puede venir con ejecutables precargados con el malware.
    No parece muy efectivo y tampoco parece diferente a los millones de malwares que hay para windows.
    Yo me había preocupado porque tengo python 2 y python 3 como es normal en una instalación de Manjaro, pero vamos, que es otro malware enfocado a Windows...
    3 K 39
  8. Avantasia #8 Avantasia
    #7 #1 Es efectivo porque lo que pretende es evadir la detección del antivirus al correr como un proceso de python, lo que si es una técnica más vieja que el pan, y la verdad no se por qué este es especial.

    Si quereis ver ejemplos de como se usa esto para la evasión, en el Veil framework hay 2 técnicas, pyinstaller y py2exe destinadas a ocultar payloads de malware precisamente y tiene ya muchos años, aunque sigue siendo bastante efectivo.

    github.com/Veil-Framework/Veil
    2 K 16
  9. sotanez #9 sotanez
    #4 Van a tener que hacerlo pasar por una copia pirata del Doom 2016 para que la gente pique.
    0 K 10
  10. h3ndrix #10 h3ndrix
    Les dejo un análisis algo más serio del RAT: threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-

    Me ha molado bastante la "protección" que lleva, tiene modificados los primeros bytes de cada librería de opcodes para "no poder" decompilarlos y, además, trae su propio interprete python con opcodes remapeados. El link que enlaza sobre decompilar Dropbox también és muy muy muy interesante (www.usenix.org/system/files/conference/woot13/woot13-kholia.pdf).

    Lo que no me gusta del malware es que realiza bastantes conexiones a Internet para bajar código, amén de que modifica claves "muy sensibles" del registro de Windows. Por lo demás, buen trabajo de artesanía :-)
    3 K 30
  11. #11 --606024--
    #1 Lo que me extraña es que lo hayan hecho en Python en vez de un lenguaje que se compile. De todas formas, si han hecho usado py2exe o PyInstaller no es necesario tener instalado Python para que funcione el programa
    0 K 6
  12. ronko #12 ronko
    #5 Marditos roedore.
    0 K 7
comentarios cerrados

menéame