Μια νέα καμπάνια που παρακολουθείται ως “Dev Popper” στοχεύει developers λογισμικού με ψεύτικες συνεντεύξεις για δουλειά σε μια προσπάθεια να τους ξεγελάσει ώστε να εγκαταστήσουν ένα Python RAT.

See also: Russia: Konni RAT spread by government software

Ζητάει από τους προγραμματιστές να εκτελέσουν εργασίες που υποτίθεται ότι σχετίζονται με τη συνέντευξη, όπως η λήψη και η εκτέλεση κώδικα από το GitHub, σε μια προσπάθεια να κάνουν όλη τη διαδικασία να φαίνεται νόμιμη. Ωστόσο, ο στόχος των hacker είναι να τους κάνει να κατεβάσουν malware που συλλέγει πληροφορίες συστήματος και επιτρέπει την απομακρυσμένη Accessed at on the mainframe.

According to analysts of Securonix, η εκστρατεία που διανέμει το Python RAT, πιθανότατα ενορχηστρώνεται από βορειοκορεάτες hackers, με βάση τις τακτικές που ακολουθούν. Ωστόσο, οι συνδέσεις δεν είναι αρκετά ισχυρές για να είναι απόλυτα σίγουρο.

Αλυσίδα μόλυνσης πολλαπλών σταδίων

Οι επιθέσεις «Dev Popper» περιλαμβάνουν μια αλυσίδα μόλυνσης πολλαπλών σταδίων, που βασίζεται στo social engineering, που έχει σχεδιαστεί για να εξαπατήσει στόχους μέσω μιας διαδικασίας προοδευτικής παραβίασης.

See also: Remcos RAT is distributed through games for adults

Οι εισβολείς ξεκινούν την διαδικασία διάδοσης του Python RAT, παρουσιάζοντας τον ευατό τους ως εργοδότες, που θέλουν να καλύψουν θέσεις προγραμματιστή λογισμικού. Κατά τη διάρκεια της συνέντευξης, οι υποψήφιοι καλούνται να κατεβάσουν και να εκτελέσουν αυτό που παρουσιάζεται ως τυπική εργασία κωδικοποίησης από ένα αποθετήριο GitHub. Το αρχείο είναι ένα ZIP που περιέχει ένα πακέτο NPM, το οποίο έχει ένα README.md καθώς και καταλόγους frontend και backend.

Μόλις ο προγραμματιστής τρέξει το πακέτο NPM, ενεργοποιείται ένα αρχείο JavaScript (“imageDetails.js”) που είναι κρυμμένο μέσα στον κατάλογο υποστήριξης, εκτελώντας εντολές “curl

” μέσω της διαδικασίας Node.js για λήψη ενός πρόσθετου αρχείου (“p.zi”) από εξωτερικό διακομιστή. Μέσα στο αρχείο βρίσκεται το ωφέλιμο φορτίο επόμενου σταδίου, ένα σενάριο Python (“npl”) που λειτουργεί ως RAT.

Μόλις το Python RAT είναι ενεργό στο σύστημα του θύματος, συλλέγει και στέλνει βασικές information συστήματος στον διακομιστή εντολών και ελέγχου (C2), συμπεριλαμβανομένων του τύπου λειτουργικού συστήματος, του ονόματος κεντρικού υπολογιστή και των δεδομένων δικτύου.

See also: Remcos RAT is distributed via a new version of the IDAT loader

How do Remote Access Trojans work?

The Remote Access Trojans (RATs), όπως το Python RAT, είναι κακόβουλα λογισμικά που επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση και να ελέγξουν τον υπολογιστή του θύματος από απόσταση. Αυτό επιτυγχάνεται μέσω της εγκατάστασης του RAT στον στόχο, συνήθως μέσω της χρήσης τεχνικών όπως το phishing ή η εκμετάλλευση των αδυναμιών του συστήματος. Μόλις εγκατασταθεί, το RAT μπορεί να εκτελέσει μια σειρά λειτουργιών χωρίς τη γνώση του χρήστη. Αυτές μπορεί να περιλαμβάνουν την κλοπή προσωπικών δεδομένων, την εγκατάσταση άλλου κακόβουλου λογισμικού, την αλλαγή των ρυθμίσεων του συστήματος ή ακόμη και την απενεργοποίηση των συστημάτων ασφαλείας.Τα RATs είναι επίσης γνωστά για την ικανότητά τους να δημιουργούν ‘backdoors’ στο σύστημα του θύματος, παρέχοντας στους επιτιθέμενους μόνιμη πρόσβαση ακόμη και αν τα αρχικά κακόβουλα λογισμικά αφαιρεθούν.

Source: bleepingcomputer