近期,研究人員在追蹤調查一個名為AridViper的駭客組織(也稱為Desert Falcon或APT-C-23)時,發現了一款名為PyMICROPSIA的新型木馬,可能會被用來感染執行Linux和macOS系統的電腦。
根據卡巴斯基全球研究和分析小組稱,這個阿拉伯駭客組織的攻擊目標主要集中在中東地區,如巴勒斯坦、印度、土耳其等國家,從2011年開始活躍,截止2015年,他們已經攻擊了超過3000次。
PyMICROPSIA
PyMICROPSIA惡意軟體基於Pytho寫成,攻擊目標專門針對由PyInstaller生成Windows二進位制檔案的Windows系統。但研究人員發現其程式碼中包含一些有趣的片段,用於檢查其他作業系統,如“POSIX”或“達爾文”。
當然,也有可能是由惡意軟體的開發人員在從其他“專案”複製貼上程式碼時引入的,並且很可能在PyMICROPSIA木馬的未來版本中被刪除。
研究人員從攻擊者的C2伺服器下載的惡意樣本分析中發現,這款惡意軟體有一長串功能,包括資料竊取、裝置控制和附加有效載荷傳遞功能。功能的完整列表包括但不限於:
檔案上傳、有效載荷下載和執行、偷盜瀏覽器憑證、清除瀏覽歷史記錄和配置檔案、拍截圖。鍵盤記錄、壓縮RAR檔案以獲取被盜資訊、收集過程資訊和銷燬過程、收集檔案列表資訊、刪除檔案、重啟機、收集Outlook.ost檔案、刪除和禁用Outlook程式、刪除、建立、壓縮和解壓縮檔案和資料夾、從USB驅動器中收集資訊,包括檔案外傳、錄音、執行命令。
PyMICROPSIA將Python庫用於多種用途,從資訊和檔案竊取到Windows程式、檔案系統和登錄檔互動。
使用GetAsyncKeyStateAPI實現的金鑰記錄功能是PyMICROPSIA從C2伺服器下載的單獨有效負載的一部分。下載的有效載荷還用於透過刪除受損害計算機Windows啟動資料夾中的.INK快捷方式來獲得永續性。
不過,PyMICROPSIA還會設定專門的登錄檔項,以便在系統重新啟動後重新啟動惡意軟體。
來源:bleepingcomputer