PyStoreRAT Malware: En komplet analyse af denne nye RAT-trussel

El PyStoreRAT-malware Det er blevet en af ​​de mest kuriøse og bekymrende trusler i nyere tid for forskere, udviklere og entusiaster. cryptocurrencyDenne malware-familie kombinerer teknikker til social engineering, GitHub-misbrug og avancerede fjernadgangsmoduler der gør det muligt for den at tage kontrol over systemet, stjæle information og lydløst implementere anden ondsindet kode.

Langt fra at være "bare endnu en ROTTE", PyStoreRAT skiller sig ud ved sin modulære tilgang, sin flertrinsinfektionskæde og sin smarte brug af falske repositories. udgivet på GitHub, der simulerer OSINT-værktøjer, DeFi-bots eller værktøjer relateret til GPT og cybersikkerhedAlt dette ledsages af kampagner på sociale medier og teknikker til at oppuste popularitetsmålinger, så ofrene føler, at de downloader noget legitimt, nyttigt og populært.

Hvad er PyStoreRAT, og hvorfor er det så farligt?

PyStoreRAT er en fjernadgangstrojan (RAT) primært baseret på JavaScript. som fungerer som et modulært, flertrinsimplantat. Selvom den oprindelige lokkemad normalt er skrevet i Python eller JavaScript, er kernen i RAT'en afhængig af HTML-applikationer (HTA'er) og scripts, der kører igennem Mshta.exeen legitim brug af Windows bruges til at behandle HTML-applikationer.

Dette implantat tilbyder angribere et meget fleksibelt sæt af muligheder: det kan køre moduler i forskellige formater (EXE, DLL, PowerShell, MSI, Python, JavaScript og HTA)Dette gør det nemmere at tilpasse kampagnen til forskellige miljøer og omgå grundlæggende sikkerhedskontroller. Derudover integrerer den systemrekognoscering, informationstyveri og yderligere malware-implementeringsfunktioner.

Et centralt element er, at PyStoreRAT ledsages ofte af infostealeren RhadamanthysRhadamanthys er malware, der specialiserer sig i at stjæle loginoplysninger, browserdata og især kryptovaluta-relateret information. RAT'en fungerer som et alsidigt indgangspunkt, mens Rhadamanthys håndterer massedataudvinding.

Et andet aspekt, der gør det særligt bekymrende, er dets fokus på højt kvalificerede profiler såsom sikkerhedsanalytikere, systemadministratorer og avancerede brugereDisse brugere tror ofte, når de downloader værktøjer fra GitHub, at de har alt under kontrol, og at "alt er tjekket", men det minimalistiske design af loaderne og brugen af ​​tilsyneladende pålidelige repositories gør tidlig opdagelse meget vanskeligere.

Med hensyn til trusselsudvikling repræsenterer PyStoreRAT et yderligere skridt mod meget diskrete scriptbaserede implantater, designet til at sameksistere med moderne EDR-kontrollerforsinke dens opdagelse så meget som muligt takket være undvigelsesteknikker og udførelse i hukommelsen.

GitHub-kampagne: falske arkiver og misbrug af tillid

Forskere har dokumenteret en vedvarende kampagne for at distribuere PyStoreRAT gennem ondsindede lagre hostet på GitHubDisse repositorier præsenteres som nyttige projekter for det tekniske fællesskab, hvilket øger chancerne for at downloade og køre dem betydeligt.

Almindelige emner i disse arkiver inkluderer OSINT-værktøjer Disse omfatter offentlige informationsindsamlingsværktøjer, påståede DeFi-bots til automatisering af handelsstrategier, uofficielle GPT-relaterede wrappers eller klienter og sikkerhedsværktøjer, der lover revisioner eller forsvarsforbedringer. I mange tilfælde virker dokumentationen og README-filen helt rimelig, endda professionel.

For at maksimere deres rækkevidde promoverer angribere disse projekter på sociale netværk som YouTube og X (tidligere Twitter)hvor videoer, tråde og beskeder udgives, der linker direkte til arkivet. Derudover manipulerer de metrikker som stjerner og forks ved hjælp af falske eller automatiserede konti i stil med Stjernekiggernes spøgelsesnetværkså projektet vises i GitHubs lister over "trending repositories".

En særligt forræderisk detalje er, at Aktørerne opretter nye konti eller genaktiverer gamle konti, der har været inaktive i flere måneder.for at få det til at se ud som om udviklingen er "kommet til live igen". Når værktøjet vinder frem og bliver kendt, tilføjer de den ondsindede kode i formodede "vedligeholdelsescommits", der offentliggøres uger eller måneder senere, når et vist niveau af tillid til projektet er etableret.

I mange tilfælde fungerer projekterne ikke engang som lovet: Nogle værktøjer viser kun statiske menuer eller grænseflader uden reel funktionalitet.Mens andre udfører minimale, overfladiske handlinger. Målet er ikke at tilbyde værdi, men at virke legitim. El tiempo nok til at brugeren kører den ondsindede loader “som en naturlig del” af at bruge værktøjet.

Smittekæde: fra minimal belastning til total kontrol

Kampagnens hjerte ligger i en en meget velgennemtænkt infektionskæde i flere stadierDet begynder med et lille stykke Python- eller JavaScript-kode i GitHub-arkivet. Det første stykke er det, der forbinder alt andet.

Normalt indeholder den fil, som brugeren kører bare et par linjer kodeDe virker harmløse eller ubemærkede. Deres egentlige funktion er at oprette forbindelse til en fjernserver, der kontrolleres af angriberen, downloade en HTA-fil og starte den. Mshta.exeDenne teknik udnytter et legitimt Windows-værktøj, hvilket reducerer mistanke fra nogle mindre avancerede sikkerhedssystemer.

Indlæseren inkluderer også en meget grundlæggende, men effektiv genkendelseslogik: samler listen over installerede antivirusprodukter Den scanner systemet og søger efter strenge relateret til "Falcon" (forbundet med CrowdStrike Falcon) eller "Reason" (forbundet med løsninger som Cybereason eller ReasonLabs). Hvis den registrerer et af disse navne, justerer den, hvordan mshta.exe udføres, for at forsøge at reducere deres synlighed.

Specifikt når den identificerer disse produkter, malwaren start mshta.exe via cmd.exeDette tilføjer et mellemliggende lag, der kan ændre bestemte adfærdsmønstre, der overvåges af sikkerhedsløsninger. Hvis den ikke finder noget mistænkeligt, udfører den blot mshta.exe direkte, hvilket reducerer trinene og accelererer infektionsprocessen.

Når den eksterne HTA er indlæst, begynder den næste fase: levering og implementering af PyStoreRAT Korrekt sagt er det her, spillet med moduler, persistens og kommunikation med kommando- og kontrolserveren (C2) begynder, og det er her, angriberne tager kontrol over det inficerede system.

Interne funktioner i PyStoreRAT og understøttede moduler

Fra det øjeblik HTA'en downloader og udfører implantatet, PyStoreRAT fungerer som en fleksibel platform til udførelse af nyttelastDens modulære arkitektur giver angribere mulighed for at indlæse forskellige typer komponenter afhængigt af behovene i hver kampagne eller hvert specifikt offer.

Blandt de mest bemærkelsesværdige muligheder er muligheden for Kør EXE-binære filer, indlæs DLL'er, start PowerShell-scripts, installer MSI-pakker og endda implementere andre scripts i Python, JavaScript eller nye HTA'er direkte fra selve RAT'en. Denne alsidighed gør det muligt for malwaren hurtigt at tilpasse sig forskellige scenarier og omgå forsvar baseret på statiske signaturer.

Derudover udfører RAT en systemprofileringsfase Dette identificerer oplysninger såsom operativsystem, brugertilladelser, miljøkonfiguration og andre data, der kan hjælpe med at bestemme, hvilken type nyttelast der er mest nyttig i hvert tilfælde. Det kontrollerer også for administratorrettigheder, hvilket åbner døren for mere påtrængende handlinger.

En særlig følsom funktion er dens evne til at Scan systemet for filer relateret til kryptovaluta-walletsPyStoreRAT udfører søgninger efter stier og filer tilknyttet applikationer som Ledger Live, Trezor, Exodus, Atomic Wallet, Guarda Wallet og BitBox02, uden at udnytte sårbarheder i disse programmer, men ved at udnytte de oplysninger, der er gemt lokalt, til at forberede sig på efterfølgende tyverier.

Samtidig letter RAT'en Rhadamanthys infostealer-udførelse som sekundær nyttelastNår den er downloadet, indsamler den adgangskoder, cookies, browserdata og andre værdifulde oplysninger, der kan sendes til C2-serveren eller videresælges på sorte markeder.

Vedholdenhed, efterfølgende træk og C2-kommandoer

For at sikre, at infektionen ikke forsvinder efter en simpel genstart, PyStoreRAT etablerer en persistensmekanisme baseret på planlagte opgaverSpecifikt opretter den en opgave i Windows Opgaveplanlægger med et navn, der efterligner en legitim softwareopdateringsproces.

I mange tilfælde fremstår denne opgave forklædt som påstået automatisk opdatering af applikationer NVIDIAudnytter det faktum, at mange brugere har drivere eller installerede grafiske værktøjer, og den slags poster går let ubemærket hen i systemet. På denne måde kan malwaren genstarte sig selv med jævne mellemrum eller efter genstart af computeren.

Interessant nok, når operatøren mener at have udvundet det, de havde brug for, eller ønsker at reducere spor, Malwaren kan i sig selv slette den planlagte opgave. at slette spor og komplicere efterfølgende retsmedicinsk analyse. Denne sletning kan også forekomme som en del af specifikke kommandoer sendt fra kommando- og kontrolserveren.

I fjernbetjeningsfasen, PyStoreRAT kommunikerer med en ekstern C2-server hvorfra den modtager instruktioner. Selvom ikke alle de anvendte domæner og IP-adresser er blevet offentliggjort, vides det, at RAT understøtter en varieret liste af kommandoer, der er beregnet både til at udføre nye nyttelaster og til at udbrede og rydde op i spor.

Blandt de vigtigste kommandoer, du kan udføre, er funktioner til Download og kør EXE-binære filer (inklusive Rhadamanthys)Download og udpak ZIP-filer, få fat i skadelige DLL'er og start dem via rundll32.exeog modtage rå JavaScript-kode, der kører direkte i hukommelsen ved hjælp af eval()en teknik, der gør filbaseret detektion vanskelig.

RAT'en kan også Installer MSI-pakker, start sekundære mshta.exe-processer for at indlæse flere eksterne HTA'erog udføre PowerShell-kommandoer direkte i hukommelsen, hvilket undgår at efterlade synlige scripts på disken. Derudover integrerer den funktioner til at sprede infektionen gennem en udbredelsesmekanisme ved hjælp af flytbare drev, der erstatter legitime dokumenter med ondsindede LNK-genveje, der peger på malware.

Berørte produkter og fokus på kryptovalutaer

Det er vigtigt at gøre det klart PyStoreRAT udnytter ikke en specifik sårbarhed i populær softwareI stedet baserer den hele sin succes på misbrug af tillid til open source-projekter og på de dårlige vaner med at downloade og køre kode fra dårligt verificerede arkiver.

De primære mål er brugere, der downloader påståede OSINT-værktøjer, DeFi-handelsbots, værktøjer til interaktion med GPT eller sikkerhedsscripts hostes på GitHub og udgives eller opdateres i en periode omtrent fra juni til december 2025. Ethvert arkiv af denne type, uden verificerbart forfatterskab, fortjener at blive analyseret med en fin kam.

Parallelt har malware en særlig interesse i Kryptovaluta-tegnebøger installeret på systemetSelvom den ikke udnytter sårbarheder i disse programmer, undersøger den mapper, datafiler og konfigurationer, der kan afsløre nyttige oplysninger om saldi, adresser eller adgangskoder.

Blandt de applikationer, han normalt søger efter, er Ledger Live, Trezor-tegnebøger, Exodus, Atomic Wallet, Guarda Wallet og BitBox02-enhedenAlene den kendsgerning, at malware sporer disse spor, indikerer allerede en klar interesse i monetisering gennem tyveri af kryptoaktiver eller salg af tegnebogsdata.

Det bør understreges, at Infektionsvektoren forbliver udførelsen af ​​kode downloadet fra GitHubDette er ikke en iboende sikkerhedsfejl i selve tegnebøgerne. Alligevel bliver kryptovalutabrugere, der kombinerer disse tegnebøger med værktøjer, der ubekymret downloades fra ukendte lagre, de facto et meget attraktivt mål for PyStoreRAT-operatører.

Indikatorer for kompromittering og mistænkelig adfærd

For at opdage mulige infektioner forbundet med denne familie er det nyttigt at se på tegn på atypisk adfærd både i koden downloadet fra GitHub og i selve Windows-systemet (Symptomer på forskellige typer malwareSelvom ikke alle indikatorer garanterer, at det er PyStoreRAT, bør en kombination af dem give anledning til mistanke.

Med hensyn til udvikling skal man være opmærksom på Meget korte Python- eller JavaScript-scripts, hvis eneste formål er at downloade og udføre HTA-filer via mshta.exeDette mønster er allerede tvivlsomt og bør gennemgås grundigt, især hvis det kommer fra et nyoprettet arkiv eller et med en mistænkelig historik.

På operativsystemniveau er en typisk indikator tilstedeværelsen af ​​mshta.exe-processer startet af scripts eller fortolkere Uden for normale sammenhænge bør det give anledning til røde flag i et virksomheds- eller endda hjemmemiljø, hvis mshta.exe kaldes af Python, Node.js eller via en kommandokonsol tilknyttet et "OSINT-værktøj".

Det er også tilrådeligt at overvåge eksistensen af planlagte opgaver med navne, der efterligner opdateringsprogrammer fra NVIDIA eller andre kendte producenterHvis disse opgaver blev oprettet omkring tidspunktet for installation af et mindre kendt GitHub-værktøj, er risikoen for, at de er relateret til PyStoreRAT eller anden lignende malware, høj.

Endelig skal der lægges vægt på Usædvanlige LNK-genveje på drev USB eller eksterne drevisær når de erstatter Office-dokumenter eller PDF-filer, der tidligere åbnede normalt. Denne adfærd stemmer overens med den taktik for udbredelse af flytbare medier, der er implementeret i denne RAT.

Potentielle ofre, observerede taktikker og tilskrivning

Kampagnen bag PyStoreRAT ser ud til at være i gang med en forholdsvis dyb forståelse af, hvordan cybersikkerheds- og udviklingssamfundet fungererDe leder ikke kun efter naive brugere, men efter profiler, der regelmæssigt arbejder med analyse-, automatiserings- og OSINT-værktøjer.

Blandt de potentielle ofre er sikkerhedsforskere, IT-administratorer, trusselsanalytikere og endda avancerede kryptovalutabrugere De afprøver ofte nye GitHub-værktøjer for at optimere deres arbejdsgange. Netop fordi de er afhængige af "trendy" repositories, ender de med at udsætte sig selv for omhyggeligt camouflerede ondsindede data.

Angriberne benytter sig af forskellige synlighedstaktikker, som f.eks. brug af trending repository-lister og kampagner på sociale medier at dirigere trafik til de inficerede projekter. Brugen af ​​nyoprettede eller inaktive GitHub-konti kombineret med efterfølgende commits, der introducerer malwaren som en "mindre opdatering", viser en klar tilgang til at angribe softwareforsyningskæden.

Hvad angår tilskrivningen, peger undersøgelserne på, at tilstedeværelsen af ​​artefakter og kodningsmønstre på russiskDette tyder på, at den ansvarlige gruppe stammer fra Østeuropa. Der er dog i øjeblikket ingen direkte forbindelse til en APT eller kriminel gruppe, der er klart identificeret i åbne kilder.

Den modulære natur, interessen for kryptovalutatyveri og brugen af ​​moderne unddragelsesteknikker peger alle på skuespillere med erfaring og ressourcer, ud over blot amatørerKampagnen er dog stadig under analyse, og der kan dukke nye beviser op med tiden.

Forholdet til andre trusler: tilfældet med SetcodeRat

Selvom PyStoreRAT er stjernen i denne analyse, har forskellige undersøgelser påpeget fremkomsten af ​​andre RAT-familier med lige så raffinerede strategierDette bekræfter en bekymrende tendens mod stærkt tilpassede fjernimplantater til bestemte miljøer eller regioner.

Et parallelt eksempel er SetcodeRat, opdaget af en kinesisk sikkerhedsleverandør, som Det spredes gennem malvertising-kampagner inden for landet. I dette tilfælde går angriberne efter kinesisktalende brugere og bruger falske installationsprogrammer til velkendt software, såsom webbrowsere, til at udføre infektionen.

Det ondsindede installationsprogram fra SetcodeRat udfører en forudgående verifikation af systemets region og sprogHvis teamet ikke er indstillet til forenklet kinesisk eller lokale varianter som Zh-CN (Fastlandskina), Zh-HK (Hongkong), Zh-MO (Macau) eller Zh-TW (Taiwan), lukker programmet simpelthen ned, hvilket reducerer unødvendig eksponering uden for målgruppen.

Et andet mærkeligt krav er, at malwaren Tjek forbindelsen ved hjælp af en Bilibili-URL (en populær kinesisk videotjeneste). Hvis den ikke kan kontakte stien, der er knyttet til api.bilibilicom/x/report/click/now, afbrydes udførelsen, sandsynligvis som en yderligere mekanisme til at begrænse analysen i laboratoriemiljøer.

I næste fase kører installationsprogrammet en binær fil kaldet pnm2png.exe til sideindlæsning af zlib1.dllDenne DLL, manipuleret af angriberne, dekrypterer indholdet af en fil kaldet qt.conf og indlæser derefter en ny DLL med den indlejrede RAT-nyttelast. På denne måde indsætter malwaren sig selv i biblioteksindlæsningskæden i et tilsyneladende legitimt program.

Når den er fuldt operationel, tilbyder SetcodeRat de sædvanlige funktioner i en moderne RAT: Skærmbilledeoptagelse, keylogging, læsning og ændring af mapper, procesudførelse, start af cmd.exe, administration af netværksforbindelser og automatiske opdateringerFor at kommunikere med din infrastruktur kan du bruge begge dele konventionelle C2-servere som kanaler via Telegram, hvilket giver den fleksibilitet og robusthed.

Anbefalede afbødende strategier

Det bedste forsvar mod PyStoreRAT og lignende trusler er at Ændr vaner, når du downloader og kører kode fra offentlige arkiverDette er især kritisk i virksomhedsmiljøer, hvor en enkeltstående forsømmelse kan føre til et alvorligt brud.

Først og fremmest anbefales det verificere legitimiteten af ​​GitHub-lagreTjek om de tilhører velkendte organisationer, sammenlign URL'en med projektets officielle hjemmeside, og gennemgå commit-historikken for eventuelle mistænkelige tilføjelser i sidste øjeblik. Det er også nyttigt at overveje overensstemmelsen mellem projektets popularitet og den faktiske kvalitet af koden.

Før du kører et downloadet værktøj, anbefales det at udføre en manuel gennemgang af koden, især de scripts, der fungerer som "launchers"Enhver henvisning til mshta.exe, descargas Fjernstyrede HTA'er eller usædvanlige PowerShell-kald bør analyseres nøje, ideelt set i et sandkassemiljø eller ved hjælp af en Microsoft Defender offlineanalyse før de slutter sig til et produktionsteam.

På netværksniveau er det nyttigt overvåge udgående forbindelser mod nye domæner eller usædvanlige IP-adresser, samt logging og advarsler om C2-type adfærd. Selvom ikke alle specifikke indikatorer offentliggøres, kan detektion baseret på trafikadfærd give meget værdifulde spor.

Ved slutpunktet bør organisationer Konfigurer advarsler for oprettelse af mistænkelige planlagte opgaverisær dem, der præsenteres som opdateringsprogrammer for kendte producenter, men hvis binære fil peger på usædvanlige stier. Det er også afgørende at overvåge brugen af ​​mshta.exe og udførelsen af ​​PowerShell eller rundll32.exe med usædvanlige parametre.

Endelig anbefales det, hvad angår eksterne enheder, at Begræns eller bloker udførelsen af ​​LNK-filer fra flytbare drev I højrisikomiljøer, eller i det mindste underkast disse genveje forbedrede scanningspolitikker. Dette reducerer sandsynligheden for, at truslen spreder sig til nye computere via USB-drev eller andre lignende metoder.

PyStoreRAT og SetcodeRat illustrerer dette meget godt. i hvilken grad perfektionerer angribere modulære RAT'er, misbruger legitime platforme som GitHub og bruger undvigelsesteknikker fokuseret på specifikke regioner eller profiler. Kun ved at kombinere kodekontrol, god downloadpraksis, netværksovervågning og endpoint-kontroller kan effekten af ​​disse typer kampagner, som i stigende grad udnytter vores tillid til "populær" software og åbne økosystemer, virkelig reduceres.