Обнаружен Python-троянец Triton RAT, крадущий учетные данные Roblox

Triton RAT обладает широким набором вредоносных функций. К ним относятся кейлоггинг, выполнение удаленных команд, кража сохраненных паролей, перехват файлов cookies безопасности Roblox, изменение обоев рабочего стола, запись экрана, доступ к веб-камере, сбор информации о Wi-Fi, загрузка и выгрузка файлов, выполнение shell-команд, а также анти-анализ и сбор системной информации. Все данные эксфильтрируются через Telegram-бота.

Особое внимание злоумышленники уделяют краже куки-файлов .ROBLOSECURITY из браузеров Opera, Chrome, Edge, Chromium, Firefox и Brave. Эти cookies содержат сессионные данные пользователя, что позволяет обойти двухфакторную аутентификацию и получить полный доступ к аккаунту Roblox. Функция sendmessage в коде троянца проходит по хранилищам паролей в директориях AppData, Google, Chrome, User Data, Local и Local State, расшифровывает их и сохраняет в текстовый файл для последующей передачи.

Для обеспечения устойчивости в системе Triton RAT создает VBScript и BAT-скрипт, которые выполняются через PowerShell. Скрипт updateagent.vbs отключает Защитник Windows, создает резервные копии и планировщике задач для постоянного присутствия, а также отслеживает определенные процессы. Скрипт check.bat загружает из DropBox бинарный файл ProtonDrive.exe - скомпилированную версию Triton RAT, которая сохраняется в скрытой папке и запускается с правами администратора. Для автоматического запуска создаются три задачи в Планировщике заданий Windows.

В целях противодействия анализу Triton RAT проверяет наличие процессов, связанных с отладчиками, такими как xdbg и ollydbg, инструментами анализа сети, например FakeNet, и антивирусными продуктами. Кроме того, тот же пользователь GitHub предлагает инструмент для изменения размера файла в качестве метода обхода защиты, поскольку некоторые антивирусы не проверяют файлы больше определенного размера.

Все собранные данные передаются через Telegram-бота, через которого злоумышленник также может отправлять команды на зараженную машину. На момент анализа в канале бота было 4549 сообщений, однако неизвестно, отражает ли это число реальное количество заражений.

Появление Triton RAT демонстрирует, как быстро киберпреступники адаптируют свои методы для атак на платформы с большой пользовательской базой, такие как Roblox. Механизмы устойчивости и использование Telegram для эксфильтрации данных делают эту угрозу особенно опасной и легко масштабируемой. Для противодействия подобным атакам организациям и частным пользователям необходимо усиливать защиту конечных точек и соблюдать строгие практики безопасности учетных данных.

MD5

• ea04f1c4016383e0846aba71ac0b0c9c

SHA256

• 076dccb222d0869870444fea760c7f2b564481faea80604c02abf74f1963c265
• 0975fdadbbd60d90afdcb5cc59ad58a22bfdb2c2b00a5da6bb1e09ae702b95e7
• 1f4e1aa937e81e517bccc3bd8a981553a2ef134c11471195f88f3799720eaa9c
• 200fdb4f94f93ec042a16a409df383afeedbbc73282ef3c30a91d5f521481f24
• 29d2a70eeedbe496515c71640771f1f9b71c4af5f5698e2068c6adcac28cc3e0
• 2b05494926b4b1c79ee0a12a4e7f6c07e04c084a953a4ba980ed7cb9b8bf6bc2
• 2d1b6bd0b945ddd8261efbd85851656a7351fd892be0fa62cc3346883a8f917e
• 2dce8fc1584e660a0cba4db2cacdf5ff705b1b3ba75611de0900ebaeaa420bf9
• 2f27b8987638b813285595762fa3e56fff2213086e9ba4439942cd470fa5669a
• 3f9ce4d12e0303faa59a307bcfc4366d02ba73e423dbf5bcf1da5178253db64d
• 4309e6a9abdfedc914df3393110a68bd4acfe922e9cd9f5f24abf23df7022af7
• 48231f2cf5bda35634fca2f98dc6e8581e8a65a2819d62bc375376fcd501ba2d
• 49b2ca4c1bd4405aa724ffaef266395be4b4581f1ff38b1fc092eab71e1adb6a
• 4b32dbd7a6ca7f91e75bacf055f4132be0952385d4d4fcbaf0970913876d64a1
• 566fc3f32633ce0b9a7154102bc1620a906473d5944dca8dea122cb63cb1bcaa
• 59793de10ed2d3684d0206f5f69cbebbba61d1f90a79dbd720d26bbf54226695
• 61a2c53390498716494ffa0b586aa6dc6c67baf03855845e2e3f2539f1f56563
• 6707ba64cccab61d3a658b23b28b232b1f601e3608b7d9e4767a1c0751bccd05
• 71fabe5022f613dc8e06d6dfda1327989e67be4e291f3761e84e3a988751caf8
• 78573a4c23f6ccdcbfce3a467fa93d2a1a49cf2f8dc7b595c0185e16b84828cb
• 78b246cbd9b1106d01659dd0ab65dc367486855b6b37869673bd98c560b6ff52
• 7bfdbceded56029bc32d89249e0195ebf47309fecded2b6578b035c52c43460b
• 7cb501e819fc98a55b9d19ad0f325084f6c4753785e30479502457ac7cb6289c
• 7fa70e18c414ae523e84c4a01d73e49f86ab816d129e8d7001fb778531adf3a7
• 8bc29a873b6144b6384a5535df5fc762c0c65e47a2caf0e845382c72f9d6671f
• 8c1db376bafcd071ffb59130d58ffcde45b2fa8e79dcc44c0a14574b9de55b43
• a99ebd095d2ccda69855f2c700048658b8e425c90c916d5880f91c8aba634a2e
• b656b7189925b043770a9738d8ae003d7401ac65a58e78c643937f4b44a3bc2c
• b8dc2c5921f668f6cf8a355fd1cb79020b6752330be5e0db4bf96ae904d76249
• b90af78927c6cb2d767f777d36031c9160aeb6fcd30090c3db3735b71274eb4e
• bc1e211206c69fe399505e18380fb0068356d205c7929e2cb3d2fe0b4107d4e0
• bf3c84a955f49c02a7f4fbf94dbbf089f26137fc75f5b36ac0b1bace9373d17a
• c11d186e6d1600212565786ed481fbe401af598e1f689cf1ce6ff83b5a3b4371
• cd42ae47c330c68cc8fd94cf5d91992f55992292b186991605b262ba1f776e8e
• e1e2587ae2170d9c4533a6267f9179dff67d03f7adbb6d1fb4f43468d8f42c24
• f389a8cbb88dae49559eaa572fc9288c253ed1825b1ce2a61e3d8ae998625e18
• fc55895bb7d08e6ab770a05e55a037b533de809196f3019fbff0f1f58e688e5f