PyXie Rat, nuovo trojan di accesso remoto

05/12/2019

PyXie rat trojan

Recentemente, i ricercatori di BlackBerry Cylance hanno scoperto un nuovo trojan di accesso remoto (RAT) scritto in Python, il RAT è stato denominato PyXie RAT poichè  utilizza l’estensione di file “.pyx“.

Secondo quanto riportato, il trojan è stato individuato nel 2018 ed è ricomparso nell’ultimo periodo. In dettaglio, PyXie RAT, una volta infettato il pc, è in grado di:

  • carpire credenziali;
  • keylogging;
  • registrare video;
  • monitorare le unità USB ed esfiltrare dati;
  • eseguire payload;
  • rubare certificati;
  • avviare una connessione da remoto;
  • distribuire diverse forme di malware.

 

Come funziona

 

Primo step

Come primo passaggio, il Rat utilizza una tecnica di sideloading che sfrutta applicazioni legittime per caricare i componenti della prima fase del malware.

In particolare carica una delle seguenti DDL:

  • LmiGuardianDLL.dll caricato da un file binario (LmiGuardianSvc.exe) firmato da LogMeIn;
  • Goopdate.dll caricato da un file binario (GoogleUpdate.exe) firmato da Google.

Una volta caricata dal file binario LogMeIn o Google, la DLL dannosa individuerà il relativo payload cifrato corrispondente. Il payload viene letto dal disco e decifrato in modalità CBC. Il risultato è un payload che viene mappato nello spazio degli indirizzi del processo ed eseguito.

Secondo step

In questa fase, il malware si autoinstalla e genera un fingerprints dell’hardware della macchina che verrà utilizzato per varie funzioni tra le quali generare la chiave di cifratura. Se il processo infetto dal payload è in esecuzione con privilegi di amministratore, il malware tenterà di aumentare i propri privilegi.

Installazione

Il loader e il corrispondente payload vengono copiati nella cartella %APPDATA%.

Terzo step

Il terzo step è un downloader, di nome Cobalt Mode, questo è in grado di:

  • connettersi a un server di comando e controllo (C&C);
  • scaricare un payload cifrato;
  • decifrare il payload;
  • mappare ed eseguire il payload;
  • generare un nuovo processo per l’iniezione di codice.

La versione analizzata, comunica con il server di comando e controllo (C&C) su HTTP / HTTPS, e secondo i ricercatori, gli autori porebbe raggiungere altri canali quali Dns, Google, i2p, Slack, Tcp, Tor, Twitter, Udp e Xmpp.

Inoltre, dall’analisi è emerso che alcuni campioni raccolti sono configurati per conettersi ai seguenti domini:

  • tedxns [.] com
  • benreat [.] com
  • planlamaison [.] com
  • sarymar [.] com
  • teamchuan [.] com
  • c1oudflare [.] com
  • athery [.] bit
  • babloom [.] bit
  • floppys [.] bit

 

Conclusioni

PyXie RAT è difficile da rilevare, al momento non sembra abbia coinvolto utenti italani, come di consueto il Cert-PA raccomanda di tenere aggiornati i propri dispositivi.

Indicatori di Compromissione

  • IoC (.txt) – Hash, Domini
  • Hashr (.txt) – SHA256