I ricercatori di BlackBerry Cylance hanno scoperto un nuovo RAT (Remote Access Trojan), precedentemente osservato nel 2018 e recentemente ricomparso, in grado di compiere attacchi mirati per rubare credenziali di accesso, esfiltrare dati da periferiche USB, effettuare registrazioni video e distribuire altri pericolosi malware.

Si chiama PyXie: scritto totalmente in Python, è stato implementato in una campagna rivolta a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio. Secondo il CERT-PA la campagna è stata diffusa anche in Italia.

BlackBerry Cylance ha condotto numerosi impegni di risposta agli incidenti (IR) in cui PyXie è stato identificato su host nell’ambiente della vittima.

Secondo quanto riportato, una volta infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevole:

· rubare credenziali di accesso della vittima;

· effettuare operazioni di keylogging;

· registrare video ambientali;

· monitorare le unità USB collegate al PC ed esfiltrare dati riservati;

· eseguire altri payload malevoli;

· avviare una connessione da remoto alla macchina infetta;

· distribuire altri malware.

PyXie si configura come una pericolosa cyber arma che può essere sfruttata per portare a termine campagne di cyber spionaggio e cyber sabotaggio.

Ecco una infografica dell’attacco

threatvector.cylance.com

La catena infettiva di PyXie è suddivisa in tre fasi fondamentali consultabili al seguente link: https://threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-rat.html

IoC e Hash disponibili: https://www.cert-pa.it/notizie/pyxie-rat-nuovo-trojan-di-accesso-remoto/

Ecco altri RAT:

CERT-PA. Nuova campagna di Malspam che diffonde il RAT Remcos

Scoperta sul dark web nuova variante gratuita del “Nanocore” RAT.

Cofense: Attenzione alle nuove frodi finanziarie. Il trojan WSH RAT

Twitter
Visit Us
LinkedIn
Share
YOUTUBE