PyXie RAT, il trojan che ruba credenziali ed esfiltra dati riservati dalle unità usb

Si chiama PyXie un nuovo RAT (Remote Access Trojan) scoperto dai ricercatori e in grado di compiere attacchi mirati su target appartenenti soprattutto a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio.

Subito dopo aver infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevoli:

• rubare credenziali di accesso della vittima;
• effettuare operazioni di keylogging;
• registrare video ambientali;
• monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
• avviare una connessione da remoto alla macchina infetta;
• distribuire altri malware.

Tutti i passaggi di un attacco col trojan PyXie

Le prime tracce del codice malevolo di PyXie risalgono al 2018, anche se solo negli ultimi giorni i ricercatori hanno osservato un picco di attività segno che i criminal hacker hanno iniziato ad usarlo per colpire le vittime designate. La catena infettiva di PyXie può essere suddivisa in tre fasi principali.

Nella prima fase, il trojan PyXie utilizza una tecnica di sideloading (letteralmente “caricamento di lato”, ma traducibile più correttamente con “trasferimento locale”) che gli consente di sfruttare applicazioni legittime già installate sulla macchina della vittima per caricare i componenti malevoli necessari a completare questa prima fase infettiva del malware.

Nella seconda fase della catena infettiva il trojan PyXie si installa automaticamente: il loader e il corrispondente payload vengono copiati in una specifica directory.

Subito dopo viene generato un codice univoco in funzione dell’hardware della macchina: tale codice sarà utile al malware per compiere altre operazioni tra cui la generazione di una nuova chiave di cifratura.

In questa fase, PyXie tenta anche di aumentare i propri privilegi in modo da riuscire a prendere il pieno controllo della macchina infetta. Il trojan, a questo punto, si preoccupa anche di garantirsi la persistenza nel sistema infetto cancellando tutte le sue attività dal Service Control Manager.

Nella terza e ultima fase della catena infettiva di PyXie viene avviato un downloader in grado di:

1. connettersi a un server di comando e controllo (C&C) su protocollo HTTP/HTTPS;
2. scaricare un payload cifrato;
3. decifrare il payload;
4. mappare ed eseguire il payload;
5. generare un nuovo processo per l’iniezione di nuovo codice malevolo.

Come difendersi da un possibile attacco

Le caratteristiche tecniche analizzate finora rendono PyXie difficile da identificare nelle macchine infette. Al momento, comunque, non sono state individuate attività malevoli in Italia anche se potrebbe essere solo questione di tempo.

Certamente, poi, un buon antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.

Il consiglio per tutte le aziende, infine, è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti mediante una corretta politica di security awareness aziendale, avvisandoli periodicamente delle minacce in corso e utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

 

Fonte: CyberSecurity360