Een nieuw ontdekte trojan richt zich op organisaties in de gezondheidszorg en het onderwijs. Het betreft een op maat gemaakte, op python gebaseerde trojan die aanvallers de controle geeft over Windows-systemen. Zo krijgen ze de mogelijkheid om acties te controleren en gevoelige gegevens te stelen.
De trojan geeft hackers toegang op afstand, en heeft de naam PyXie RAT gekregen. Onder meer keylogging, het verzamelen van gegevens, het opnemen van video’s, diefstal van cookies, de mogelijkheid om man-in-the-middle-aanvallen uit te voeren en de mogelijkheid om andere vormen van malware op geïnfecteerde systemen te implementeren maken onderdeel uit van de mogelijkheden van de trojan.
Onderzoek door Blackberry Cylance
Verder kan de trojan verdachte activiteiten wissen, zodat de malware niet wordt ontdekt. Er zijn echter wel sporen van de aanvallen ontdekt door cybersecurity onderzoekers bij Blackberry Cylance, die de naam PyXie hebbe bedacht. Dit vanwege de manier waarop de code gebruik maakt van een ‘.pyx’ bestandsextensie in plaats van de ‘.pyc’-extensie, die meestal wordt geassocieerd met Python.
PyXie RAT is volgens ZDNet al actief sinds 2018 en is op maat gemaakt, wat aangeeft dat er veel tijd en kosten zijn besteed aan het bouwen van de trojan.
Sideloading-techniek
De malware komt meestal bij de slachtoffers terecht door een sideloading-techniek. Die maakt gebruik van legitieme toepassingen om slachtoffers te infecteren. Een van deze toepassingen, die door onderzoekers werd ontdekt, was een trojan-versie van een open-source game, die de kwaadaardige payload installeert door middel van PowerShell.
Zodra de malware met succes is geïnstalleerd op het doelsysteem kunnen de aanvallers zich in het systeem bewegen en bepaalde commands uitvoeren. Naast het stelen van gebruikersnamen, wachtwoorden en andere informatie, merken onderzoekers op dat er ook gevallen voorkomen waarin PyXie wordt gebruikt om ransomware in bepaalde netwerken te verspreiden.