[ARTIGO] Segurança Digital: Como se proteger de um Hacker
Python

Vírus escrito em Python é descoberto por Desenvolvedores da Blackberry Cylance

3 Minutos de Leitura

Pesquisadores da BlackBerry Cylance descobriram recentemente um RAT (Remote Administrator Tool) em Python, que foi batizado de PyXie. As amostras mais antigas do PyXie mostram o malware no ambiente virtual desde pelo menos 2018, sem chamar muita atenção da indústria de segurança cibernética.

[+] Ação promocional do Magalu libera 10 PIX de R$200 para clientes por dia. Veja como participar

O PyXie faz parte de uma campanha em andamento que tem como alvo uma ampla variedade de indústrias. Os analistas da BlackBerry Cylance observaram evidências de tentativas de ataque de ransomware com o PyXie nos setores de saúde e educação.

A BlackBerry Cylance conduziu vários episódios de resposta a incidentes (IR) nos quais o PyXie foi identificado nos hosts do ambiente da vítima.

Os principais destaques da campanha do PyXie incluem:

  • · binários legítimos do LogMeIn e do Google usados para descarregar payloads;
  • · uso de um downloader que tem semelhanças com o Shifu, chamado “Cobalt Mode”;
  • · uso do Sharphound para coletar informações do diretório ativo das vítimas;
  • · um interpretador Python compilado e personalizado que usa opcodes codificados para dificultar a análise;
  • · uso de um algoritmo RC4 modificado para criptografar payloads com uma chave exclusiva para cada host infectado.

Análise geral do ataque

A campanha usa uma técnica de carregamento lateral utilizando aplicativos legítimos para carregar os componentes do primeiro estágio do malware. Observamos duas variantes diferentes de carregadores mal-intencionados visando aplicativos populares que podem ser encontrados na maioria dos computadores:

[+] WhatsApp testa função para que as pessoas possam sair silenciosamente dos grupos

  • · LMIGuardianDll.dll — carregado lateralmente por um binário assinado (LmiGuardianSvc.exe) do LogMeIn;
  • · Goopdate.dll — carregado lateralmente por um binário assinado (GoogleUpdate.exe) do Google.

Depois de carregada pelo binário LogMeIn ou Google, a DLL maliciosa localizará sua carga criptografada correspondente. Ela faz isso pegando o caminho completo no qual foi carregada e anexando uma extensão .dat a ele. Por exemplo, se a DLL mal-intencionada se chamar LmiGuardianDLL.dll, o nome do arquivo do payload será LmiGuardianDLL.dll.dat.

[+] Ação promocional do Magalu libera 10 PIX de R$200 para clientes por dia. Veja como participar

A carga criptografada é lida no disco e, em seguida, o AES-128 é descriptografado no modo CBC pelo carregador. O vetor de inicialização de 16 bytes (IV) e a chave simétrica são codificados na DLL e podem variar de amostra para amostra. O resultado da descriptografia é o payload da segunda fase, que é mapeado no espaço de endereço do processo do carregador e executado.

Escalonamento de privilégios

Se o processo infectado com o payload do segundo estágio estiver em execução com privilégios de administrador, o malware tentará aumentar seus próprios privilégios. Isso é feito criando e iniciando um serviço temporário, que reaparece e é executado como um processo LOCAL SYSTEM. Para permanecer furtivo, o malware exclui o serviço temporário do Service Control Manager.

[+] WhatsApp testa função para que as pessoas possam sair silenciosamente dos grupos

Instalação

O carregador e seu payload correspondente são copiados para um subdiretório na pasta %APPDATA%. O diretório é escolhido de uma lista de cadeias. A seleção é feita usando o número CRC32 do resultado do módulo 21 (0x15) da cadeia de ID do Hardware.

Persistência

A persistência é obtida com a criação de um valor de registro cujo nome é a representação da sequência hexadecimal de um DWORD gerado dinamicamente na chave do registro HKCU\Software\Microsoft\Windows\VersãoAtual\Executar. O valor do registro está definido para apontar para o caminho do executável do carregador.

Injeção do payload da próxima etapa

O payload do terceiro estágio é descompactado com uma chamada para a API RtlDecompressBuffer e posteriormente injetada em um processo recém-gerado.

O executável direcionado para injeção é escolhido enumerando os executáveis no diretório %SYSTEMROOT%\System32 e pesquisando o primeiro que atenda aos seguintes critérios:

  • · não está funcionando;
  • · possui um subsistema GUI;
  • · possui “Microsoft” nas informações da versão;
  • · está assinado.

[+] Senado vota esta semana projeto que institui Política Nacional de Inteligência Artificial

O novo processo é gerado usando a API CreateProcessA, que transmite o caminho para o executável que carregou a segunda etapa com o parâmetro lpCommandLine.

PyXie RAT

O payload do estágio final é um RAT em Python completo, compilado em um executável. Em vez de usar o Py2Exe ou o PyInstaller para criar um executável, os autores do malware compilaram seu próprio interpretador Python que carrega um arquivo contendo o bytecode do RAT PyXie da memória.

[+] Senado vota esta semana projeto que institui Política Nacional de Inteligência Artificial

As funcionalidades do RAT PyXie incluem:

  • · interceptação do homem no meio (MITM);
  • · injeção na Web;
  • · keylogging;
  • · coleta de credenciais;
  • · digitalização em rede;
  • · roubo de cookies;
  • · limpeza dos logs;
  • · gravação de vídeos;
  • · execução de cargas arbitrárias;
  • · monitoramento de drives USB e exfiltração de dados
  • · conexão com o servidor WebDav;
  • · criação de proxy Socks5;
  • · conexão de rede virtual (VNC);
  • · roubo de certificado;
  • · software de inventário;
  • · enumeração o domínio com Sharphound.

O intérprete personalizado é fornecido com uma biblioteca obscura denominada memzipimport, que importa um arquivo zip contendo o bytecode RAT compilado diretamente da memória.

O zip contém mais de 1.500 arquivos de bytecode em Python, muitos dos quais são bibliotecas de terceiros. O RAT principal consiste em aproximadamente 79 arquivos de bytecode.

A análise completa do RAT PyXie pode ser lida (em inglês) no blog Threat Vector, da BlackBerry Cylance.

[+] Ação promocional do Magalu libera 10 PIX de R$200 para clientes por dia. Veja como participar


Fórum de Programação para Iniciantes - Tire Todas as suas Dúvidas

Começando Agora na Programação? Tire todas as suas dúvidas no PB Overflow, nosso Fórum de Programação para Iniciantes (CLIQUE AQUI)


Deixe o seu comentário

O seu endereço de e-mail não será publicado.

Leia Também

Últimas Notícias