Los piratas informáticos suelen poner sus miras en aquello que cuenta con más usuarios. Eso es, por ejemplo, el caso de Windows. Hoy nos hacemos eco de una nueva amenaza que afecta al sistema operativo de Microsoft. Se trata de PyXie, un troyano capaz de tomar el control del sistema y poder distribuir otras amenazas. Se trata de una RAT basada en Python que puede lograr privilegios de administrador y poner en riesgo la seguridad y privacidad de los usuarios.
Comentarios
Mi no entender.
Afecta sólo a Windows pero el target son instalaciones de python 2 / python 3 aunque puede venir con ejecutables precargados con el malware.
No parece muy efectivo y tampoco parece diferente a los millones de malwares que hay para windows.
Yo me había preocupado porque tengo python 2 y python 3 como es normal en una instalación de Manjaro, pero vamos, que es otro malware enfocado a Windows...
#7 #1 Es efectivo porque lo que pretende es evadir la detección del antivirus al correr como un proceso de python, lo que si es una técnica más vieja que el pan, y la verdad no se por qué este es especial.
Si quereis ver ejemplos de como se usa esto para la evasión, en el Veil framework hay 2 técnicas, pyinstaller y py2exe destinadas a ocultar payloads de malware precisamente y tiene ya muchos años, aunque sigue siendo bastante efectivo.
https://github.com/Veil-Framework/Veil
Les dejo un análisis algo más serio del RAT: https://threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-rat.html
Me ha molado bastante la "protección" que lleva, tiene modificados los primeros bytes de cada librería de opcodes para "no poder" decompilarlos y, además, trae su propio interprete python con opcodes remapeados. El link que enlaza sobre decompilar Dropbox también és muy muy muy interesante (https://www.usenix.org/system/files/conference/woot13/woot13-kholia.pdf).
Lo que no me gusta del malware es que realiza bastantes conexiones a Internet para bajar código, amén de que modifica claves "muy sensibles" del registro de Windows. Por lo demás, buen trabajo de artesanía
para que se ejecute, se necesitara tener el python 2 o 3 en la maquina, verdad? no creo que el usuario medio lo tenga, a menos que el malware lo instale a priori
#1 señala la fuente original que está compilado como ejecutable:
"According to cylance research, PyXie has various key features of the following:
1. Legitimate LogMeIn and Google binaries used to sideload payloads.
2. A Trojanized Tetris app to load and execute Cobalt Strike stagers 3. from internal network shares.
4. Use of a downloader with similarities to Shifu named “Cobalt Mode”.
5. Use of Sharphound to collect active directory information from victims.
6. A custom compiled Python interpreter that uses scrambled opcodes to hinder analysis.
7. Use of a modified RC4 algorithm to encrypt payloads with a unique key per infected host...
At the final stage, PyXie RAT compiled into executable, In this case, the malware authors compiled their own Python interpreter that loads an archive containing the PyXie RAT bytecode from memory. "
https://gbhackers.com/python-rat/
#2 esto tiene que pesar un cojón
#4 Van a tener que hacerlo pasar por una copia pirata del Doom 2016 para que la gente pique.
#1 Existen cosas como py2exe.
#1 Lo que me extraña es que lo hayan hecho en Python en vez de un lenguaje que se compile. De todas formas, si han hecho usado py2exe o PyInstaller no es necesario tener instalado Python para que funcione el programa
Primero fueron Bonnie and Clyde... ahora tenemos a Pyxie y pronto Dyxie.
#5 Marditos roedore.
Ah pues mira, a ver si utiliza ese control para encontrarme buen porno.