EDICIóN GENERAL
128 meneos
2252 clics
PyXie, la nueva amenaza que entrega el control de tu PC

PyXie, la nueva amenaza que entrega el control de tu PC

Los piratas informáticos suelen poner sus miras en aquello que cuenta con más usuarios. Eso es, por ejemplo, el caso de Windows. Hoy nos hacemos eco de una nueva amenaza que afecta al sistema operativo de Microsoft. Se trata de PyXie, un troyano capaz de tomar el control del sistema y poder distribuir otras amenazas. Se trata de una RAT basada en Python que puede lograr privilegios de administrador y poner en riesgo la seguridad y privacidad de los usuarios.

| etiquetas: pyxie , troyano , windows
Mi no entender.
Afecta sólo a Windows pero el target son instalaciones de python 2 / python 3 aunque puede venir con ejecutables precargados con el malware.
No parece muy efectivo y tampoco parece diferente a los millones de malwares que hay para windows.
Yo me había preocupado porque tengo python 2 y python 3 como es normal en una instalación de Manjaro, pero vamos, que es otro malware enfocado a Windows...
#7 #1 Es efectivo porque lo que pretende es evadir la detección del antivirus al correr como un proceso de python, lo que si es una técnica más vieja que el pan, y la verdad no se por qué este es especial.

Si quereis ver ejemplos de como se usa esto para la evasión, en el Veil framework hay 2 técnicas, pyinstaller y py2exe destinadas a ocultar payloads de malware precisamente y tiene ya muchos años, aunque sigue siendo bastante efectivo.

github.com/Veil-Framework/Veil
Les dejo un análisis algo más serio del RAT: threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-

Me ha molado bastante la "protección" que lleva, tiene modificados los primeros bytes de cada librería de opcodes para "no poder" decompilarlos y, además, trae su propio interprete python con opcodes remapeados. El link que enlaza sobre decompilar Dropbox también és muy muy muy interesante (www.usenix.org/system/files/conference/woot13/woot13-kholia.pdf).

Lo que no me gusta del malware es que realiza bastantes conexiones a Internet para bajar código, amén de que modifica claves "muy sensibles" del registro de Windows. Por lo demás, buen trabajo de artesanía :-)
para que se ejecute, se necesitara tener el python 2 o 3 en la maquina, verdad? no creo que el usuario medio lo tenga, a menos que el malware lo instale a priori xD
A_D #2 A_D *
#1 señala la fuente original que está compilado como ejecutable:

"According to cylance research, PyXie has various key features of the following:

1. Legitimate LogMeIn and Google binaries used to sideload payloads.
2. A Trojanized Tetris app to load and execute Cobalt Strike stagers 3. from internal network shares.
4. Use of a downloader with similarities to Shifu named “Cobalt Mode”.
5. Use of Sharphound to collect active directory information from victims.
6. A custom compiled

…   » ver todo el comentario
#2 esto tiene que pesar un cojón
#4 Van a tener que hacerlo pasar por una copia pirata del Doom 2016 para que la gente pique.
#1 Existen cosas como py2exe.
#1 Lo que me extraña es que lo hayan hecho en Python en vez de un lenguaje que se compile. De todas formas, si han hecho usado py2exe o PyInstaller no es necesario tener instalado Python para que funcione el programa
Primero fueron Bonnie and Clyde... ahora tenemos a Pyxie y pronto Dyxie. :troll:
#5 Marditos roedore.
Ah pues mira, a ver si utiliza ese control para encontrarme buen porno.
comentarios cerrados

menéame