I ricercatori di BlackBerry Cylance hanno scoperto un nuovo RAT (Remote Access Trojan), precedentemente osservato nel 2018 e recentemente ricomparso, in grado di compiere attacchi mirati per rubare credenziali di accesso, esfiltrare dati da periferiche USB, effettuare registrazioni video e distribuire altri pericolosi malware.
Si chiama PyXie: scritto totalmente in Python, è stato implementato in una campagna rivolta a settori dell’istruzione, della sanità, tecnologici, governativi e per la vendita al dettaglio. Secondo il CERT-PA la campagna è stata diffusa anche in Italia.
BlackBerry Cylance ha condotto numerosi impegni di risposta agli incidenti (IR) in cui PyXie è stato identificato su host nell’ambiente della vittima.
Secondo quanto riportato, una volta infettato il PC target, PyXie è in grado di compiere le seguenti azioni malevole:
· rubare credenziali di accesso della vittima;
· effettuare operazioni di keylogging;
· registrare video ambientali;
· monitorare le unità USB collegate al PC ed esfiltrare dati riservati;
· eseguire altri payload malevoli;
· avviare una connessione da remoto alla macchina infetta;
· distribuire altri malware.
PyXie si configura come una pericolosa cyber arma che può essere sfruttata per portare a termine campagne di cyber spionaggio e cyber sabotaggio.
Ecco una infografica dell’attacco
La catena infettiva di PyXie è suddivisa in tre fasi fondamentali consultabili al seguente link: https://threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-rat.html
IoC e Hash disponibili: https://www.cert-pa.it/notizie/pyxie-rat-nuovo-trojan-di-accesso-remoto/
Ecco altri RAT:
CERT-PA. Nuova campagna di Malspam che diffonde il RAT Remcos
Scoperta sul dark web nuova variante gratuita del “Nanocore” RAT.
Cofense: Attenzione alle nuove frodi finanziarie. Il trojan WSH RAT