Аналитическая группа ASEC отслеживает вредоносные программы, распространяемые через нелегальное программное обеспечение, такое как кряки или серийные кейгены. Многие из вредоносных программ, распространяемых таким образом, являются Infostealers, такими как Vidar, CryptBot и RedLine. Группа анализа ASEC недавно обнаружила Pybot DDoS, распространяемый с помощью нелегального программного обеспечения.
Программа, используемая в качестве приманки, - это генератор токенов под названием Nitro Generator. Nitro - это платная услуга Discord с различными преимуществами. Nitro Generator - это инструмент, генерирующий коды, которые могут быть использованы для бесплатного доступа к Nitro.
Pybot DDoS
Pybot - это вредоносная программа DDoS Bot с открытым исходным кодом, разработанная на языке Python. Особенностью PYbot, отличающей его от обычных вредоносных программ DDoS Bot, является то, что Pybot способен выполнять только DDoS-атаки. Конечно, существуют такие вредоносные программы, как Mirai, Gafgyt и Tsunami, главной особенностью которых являются DDoS-атаки, но у них есть и базовые функции, такие как минимальное обновление вредоносного ПО и выполнение команд от агента угрозы.
Кроме того, эти типы нацелены на уязвимые IoT-устройства с непропатченными уязвимостями или неадекватно управляемые, а не на системы Windows. Среди вредоносных программ, нацеленных на системы Windows, вредоносные программы типа RAT в основном имеют функцию DDoS-атаки. Однако возможность удаленного управления зараженными системами является основной особенностью RAT.
Выявленный в настоящее время PYbot распространяется на системы Windows, но он также может быть использован для поражения систем Linux, поскольку программы, написанные на языке Python, могут быть запущены и в Linux.
PYbot - это вредоносная программа на языке Python, но агент угрозы распространил ее после сборки в исполняемый файл Windows с помощью PyInstaller. PyInstaller - это инструмент, который позволяет запускать скрипты Python в среде, где Python не установлен, путем упаковки необходимых для выполнения скрипта модулей в исполняемый файл Windows. По сути, PyInstaller - это инструмент, подобный Bat2exe, который преобразует скрипты в исполняемые файлы. Однако, в отличие от пакетных файлов, которые могут выполняться в стандартном окружении Windows, скрипты Python требуют установки Python для выполнения. Поэтому особенностью PyInstaller является то, что он включает в себя несколько модулей, которые позволяют выполнять сценарии Python.
Недавно PYbot распространялся вместе с нелегальной программой, связанной с платной службой Discord под названием Nitro. При заражении PYbot пользовательские системы могут использоваться в качестве DDoS-ботов, которые получают команды от угрожающего субъекта для выполнения DDoS-атак на определенные цели.
Использование нелегального программного обеспечения, такого как крэки и кейгены для платного ПО, для распространения вредоносного ПО является одним из основных методов, используемых угрожающими субъектами.
Indicators of Compromise
IPv4 Port Combinations
- cnc.dotxyz.cf:666
URLs
- http://75.119.139.66/p.exe
- https://cdn.discordapp.com/attachments/1063947830827421708/1069081977828937728/Windows_Defender.lnk
- http://cnc.dotxyz.cf/Windows%20Defender.exe
MD5
- 1cf392ce0c7fd5b56da8888c43a03be3
- 493b3bd39f89ed0d2f5ec3f175490b43
- 4db2035a98b270d485b95ea7cf417898
- 7e7694cfecf3e0809bcf28009cab4adb
- 827c83f08d1c139e4b6698bdcf386da8
- 8fa445bbc93c43d5769038e56aeca84f