Новая малварь PyMicropsia на Python и крадёт учётные данные браузера и файлы Outlook
Фото: Pixabay
По словам исследователей, вредоносное ПО имеет множество совпадений с другими существующими инструментами AridViper, такими как MICROPSIA.
«Кроме того, на основании различных аспектов PyMICROPSIA, которые мы проанализировали, некоторые разделы вредоносного ПО все ещё не используются, что указывает на то, что это, вероятно, семейство вредоносных программ, которое активно разрабатывается этим субъектом», — добавили в 42 Palo Alto Networks.
Основные функции вредоносного ПО PyMICROPSIA включают загрузку файлов, загрузку и выполнение данных, кражу учётных данных браузера, создание снимков экрана и ведение кейлоггеров. Он также может собирать информацию о файлах, удалять файлы, перезагружать машины, собирать данные с USB-накопителей, записывать аудио, собирать файлы Outlook.OST, а также уничтожать или отключать процессы Outlook.
Группа AridViper построила вредоносное ПО на Python и превратило его в исполняемый файл Windows с помощью PyInstaller. Он реализует свои основные функции, выполняя цикл, в котором он инициализирует различные потоки и периодически вызывает несколько задач для сбора информации и взаимодействия с оператором C2.
Он также использует несколько интересных библиотек Python для достижения своих целей, включая встроенные библиотеки Python и определённые пакеты, такие как PyAudio для кражи аудио и mss для создания снимков экрана.
«Ожидается, что встроенные библиотеки Python будут использоваться для различных целей, таких как взаимодействие с процессами Windows, реестром Windows, сетью, файловой системой и т. д.», — заявили исследователи.
В 42 Palo Alto Networks также обнаружили, что у вредоносного ПО есть модуль «Киану Ривз» и модуль под названием «Фрэн Дрешер». Он содержит в своём коде многочисленные отсылки к диснеевским фильмам и сериалам, таким как «Теория большого взрыва» и «Игра престолов».
Исследователи обнаружили два дополнительных образца, размещённых в инфраструктуре малвари. Они написаны не на Python или PyInstaller, но имеют возможности кейлоггинга.
Хотя AridViper разработала PyMICROPSIA для операционных систем Windows, исследователи заявили, что код содержит фрагменты, проверяющие другие операционные системы, такие как «posix» или «darwin».
«Это интересное открытие, так как мы знали о том, что AridViper нацелилась на эти операционные системы раньше, и это может представлять новую область, которую хакеры начинают исследовать», — заявили они. — «На данный момент, найденный код очень прост и может быть частью усилий по копированию и вставке при построении кода Python, но в любом случае мы планируем держать его в поле зрения при исследовании новых действий».
Как сообщал Startpack, ранее компания Microsoft объявила о скорой интеграции Outlook и Teams.
Комментариев пока не было