Los piratas informáticos suelen poner sus miras en aquello que cuenta con más usuarios. Eso es, por ejemplo, el caso de Windows. Hoy nos hacemos eco de una nueva amenaza que afecta al sistema operativo de Microsoft. Se trata de PyXie, un troyano capaz de tomar el control del sistema y poder distribuir otras amenazas. Se trata de una RAT basada en Python que puede lograr privilegios de administrador y poner en riesgo la seguridad y privacidad de los usuarios.
|
etiquetas: pyxie , troyano , windows
"According to cylance research, PyXie has various key features of the following:
1. Legitimate LogMeIn and Google binaries used to sideload payloads.
2. A Trojanized Tetris app to load and execute Cobalt Strike stagers 3. from internal network shares.
4. Use of a downloader with similarities to Shifu named “Cobalt Mode”.
5. Use of Sharphound to collect active directory information from victims.
6. A custom compiled Python interpreter that uses scrambled opcodes to hinder analysis.
7. Use of a modified RC4 algorithm to encrypt payloads with a unique key per infected host...
At the final stage, PyXie RAT compiled into executable, In this case, the malware authors compiled their own Python interpreter that loads an archive containing the PyXie RAT bytecode from memory. "
gbhackers.com/python-rat/
Afecta sólo a Windows pero el target son instalaciones de python 2 / python 3 aunque puede venir con ejecutables precargados con el malware.
No parece muy efectivo y tampoco parece diferente a los millones de malwares que hay para windows.
Yo me había preocupado porque tengo python 2 y python 3 como es normal en una instalación de Manjaro, pero vamos, que es otro malware enfocado a Windows...
Si quereis ver ejemplos de como se usa esto para la evasión, en el Veil framework hay 2 técnicas, pyinstaller y py2exe destinadas a ocultar payloads de malware precisamente y tiene ya muchos años, aunque sigue siendo bastante efectivo.
github.com/Veil-Framework/Veil
Me ha molado bastante la "protección" que lleva, tiene modificados los primeros bytes de cada librería de opcodes para "no poder" decompilarlos y, además, trae su propio interprete python con opcodes remapeados. El link que enlaza sobre decompilar Dropbox también és muy muy muy interesante (www.usenix.org/system/files/conference/woot13/woot13-kholia.pdf).
Lo que no me gusta del malware es que realiza bastantes conexiones a Internet para bajar código, amén de que modifica claves "muy sensibles" del registro de Windows. Por lo demás, buen trabajo de artesanía