Tipo
RATOSetor
FinTechO Trojan de acesso remoto (RAT) Python-script, apelidado de PyVil, é usado pelo Evilnum APT para coletar informações corporativas confidenciais. Em setembro de 2020, os agentes de ameaças utilizaram o PyVil junto com várias outras ferramentas, como More_eggs, TerraPreter, TerraStealer e TerraTV para atingir empresas FinTech no Reino Unido e na União Europeia.Esse RAT se propaga por meio de arquivos LNK maliciosos que se disfarçam de documentos PDF legítimos distribuídos por meio de golpes de phishing. Eles enviam e-mails enganosos disfarçados de documentos de identificação associados ao banco da vítima, incluindo contas, extratos de cartão de crédito etc. O RAT é compilado com py2exe, que converte scripts python em executáveis do Microsoft Windows. Isso permite que ele baixe novos módulos para expandir sua funcionalidade. O RAT é configurado de forma que possa conter instruções para o navegador ao se comunicar com o servidor de Comando e Controle (C2). As comunicações C2 são feitas por meio de solicitações HTTP POST e são criptografadas em RC4 usando uma chave codificada, codificada com Base64 (converte os dados binários em formato de texto). Os principais recursos do PyVil são:
- Registro de chaves
- Fazendo capturas de tela
- Coleta de informações de sistemas infectados
O código Python dentro do py2exe é complicado com camadas extras de criptografia para evitar a descompilação da carga usando as ferramentas existentes.[/vc_wp_text] [vc_wp_text]
Impacto
- O vazamento de informações de PII pode levar ao roubo de identidade.
- Documentos/bate-papos confidenciais vazados para o público podem custar a reputação de um indivíduo ou organização.
- Depois que o dispositivo é infectado, ele pode ser usado como um bot para realizar ataques de DDoS, levando à inacessibilidade dos serviços.
- O malware dá aos operadores acesso aos detalhes da vítima, que são usados para enganar ainda mais as vítimas ou realizar ataques de engenharia social contra elas.
[/vc_wp_text] [vc_wp_text]
Mitigações
- Não abra e-mails suspeitos ou não solicitados, especialmente aqueles recebidos de remetentes desconhecidos/suspeitos.
- Bloqueie a instalação de programas de fontes desconhecidas.
- Baixe somente de fontes relevantes e confiáveis.
- Faça backup de seus dados em intervalos regulares.
- Use um scanner confiável para detectar malware.
- Desative o Windows PowerShell, que é uma estrutura de automação de tarefas.
[/vc_wp_text] [vc_wp_text]
Indicadores de compromisso
Domínios
- voipasst [.] com
- voipreq12 [.] com
- telecomal [.] com
- domínio crm [.] net
- gestão de leads [.] net
- fxmt4x [.] com
- xlmfx [.] com
- telefx [.] net
- voipssupport [.] com
- trquotesys [.] com
- extrasectr [.] com
- veritechx [.] com
- quotingtrx [.] com
- vvxtech [.] net
- corpxtech [.] com
Endereços IP
- 193 [.] 56 [.] 28 [.] 201
- 185 [.] 236 [.] 230 [.] 25
- [5] 206 [.] 227 [.] 81
- 176 [.] 107 [.] 188 [.] 175
LINK
- db5d09edc2e9676a41f26f5f4310df9d13abdae8011b1d37af7139008362d5f1
- 3b7cd07e87902deae4b482e987dea9e25a93a55ec783884e8b466dc55c346bce
- c7cf5c62ecfade27338acb2cc91a06c2615dbb97711f2558a9379ee8a5306720
- f5f79e2169db3bbe7b7ae3ff4a0f40659d11051e69ee784f5469659a708e829e
- cff5ed4de201256678c7c068c1dbda5c47f4b322b618981693b1fd07a0ea7e68
- 83c375dcdadb8467955f5e124cf4e8d6eac78c51c03fb7393dc810a243ba1a90
PDF descartado
- 048388c04738763c0ec57124e3a88fc82a545639636fb5ed6cd397881dd6ced9
- 11d9a87b144c0eaf71e8dea1b08117d464ed7f24a6e716e935e0c7f3a7e03edc
- 0b95c8c70d2dad47baef15d0299cd7e273e8a59ae0420921632b21789a80aef0
Executável pyVil py2.exe
- f388a2ebbb6a7e577e8aa6205e87d5b2975e7c08464123cc36e8e3d437e9a523
- 130e0536cdb4e9f7cfb273dbabc9ee196a51d1217cd4b981847af6314f46b052
- d6343a07357e5443d6a59f10e16a06796c46bec3cbe5968ac04b0f082d6fcecf
Primeira camada de ofuscação do PyVil
- 568ec03a27740f8babc3513948a44ce1a2944d05f3d454ce345e67a0634a4a73
Segunda camada de ofuscação do PyVil
- 63a4b6ef72e0a3a0886364a5ebcc0009c6da8c27d93cf9d6c8107b6f025fed34
Bibliotecas PyVil python
- 1aa9ecb83acbebc64b23f7192e763cf4bd278f10df2223512087b87230e411b4
- 9dfb040dab1fd05fbccf69ff3461295815edc463a61a6304af18a72f82bce534
- 8dfb2f5c74f38ffb39bfc17bf6a62d5822c458215619c1b2ec2eb345f21d1265
- 3f3738e4606ea85a382319269405ee72a928a8a761273914c52342b116cbddfc
- a787ecc380021b3b7115c97242ba06706a0a1e41efe1b734552d74384bae22ec
- 062ed9f40ca330f0fed63cbdd401521deb23f93b5527038fc88f70ed9acadf39