Un malware di accesso remoto tenta di travestirsi da assistente vocale Cortana per rubare dati e comunicare con i criminali. La piaga, soprannominata PY#RATION, utilizza metodi noti di contaminazione da e-mail di phishing, con i suoi eseguibili nascosti nei file di collegamento di Windows per evitare il rilevamento da parte del software antivirus ed eseguire la contaminazione del PC.
Con il nome PY#RATION, il malware si traveste da assistente vocale di Windows, Cortana, per rubare i dati degli utenti. Si tratta di un virus ad accesso remoto che si impianta sui PC altrui tramite e-mail di phishing e lascia i suoi eseguibili nascosti nelle scorciatoie di sistema in modo che non passino attraverso la scansione antivirus.
Diverse varianti del malware sono state avvistate dagli esperti a partire dal mese di agosto. L’obiettivo principale di questi virus è quello di riuscire a consolidare la propria permanenza nel sistema e quindi di accedere ai dati, ai cookie salvati e alla clipboard, nonché di trasferire file. Non solo attraverso Cortana, si nasconde anche nelle cartelle, nei file temporanei e in vari eseguibili.
Come altri RAT (trojan ad accesso remoto), PY#RATION ha una serie di caratteristiche e capacità, tra cui l’esfiltrazione dei dati e il keylogging. Ciò che rende questo malware particolarmente unico è l’uso di websocket per la comunicazione e l’esfiltrazione di comando e controllo (C2), che utilizza porte già aperte sulla connessione ed evita il rilevamento da parte di firewall e strumenti di monitoraggio della rete.
Nell’e-mail, il virus appare travestito da un presunto cliente, che allega una documentazione necessaria per una proposta commerciale. All’interno del file ZIP si trova la patente di guida di una donna del Regno Unito.
Secondo Securonix, il fatto che si tratti di un binario compilato in Python lo rende estremamente flessibile. Dovrebbe funzionare su varianti di Windows, OSX e Linux. Tra le raccomandazioni, il sito indica di evitare l’apertura di allegati provenienti da mittenti sospetti in formato .zip, .iso e .img e di implementare una politica di whitelisting delle applicazioni per limitare l’esecuzione di file binari sconosciuti, di implementare registri aggiuntivi a livello di processo, come Sysmon, per una maggiore copertura del rilevamento dei registri.