新型Python远程访问木马PY#RATION攻击Windows系统

关键要点

• 新的PY#RATION木马通过网络钓鱼攻击感染Windows系统。
• 攻击者利用密码保护的ZIP文件和伪装的LNK文件。
• 木马利用WebSocket协议进行指挥控制通信和数据泄露。
• PY#RATION支持网络枚举、文件传输、键盘记录等功能，具备高隐蔽性。

根据的报道，Windows系统正遭到新的Python远程访问木马（RAT）PY#RATION的攻击。攻击者通过网络钓鱼邮件发送带有密码保护的ZIP文件，并在其中嵌入伪装的LNK文件，以此实现PY#RATION木马的传播。根据Securonix的报告，这一木马利用WebSocket协议进行指挥控制（C2）服务器的通信以及数据窃取活动。

部署这些附加的LNK文件会触发C2通信，并下载被重命名为BAT文件的TXT文件，进而执行木马。一旦建立了”Cortana”和”Cortana/Setup”目录，PY#RATION会通过更新启动目录来保持持久性，从而包含一个批处理文件。Securonix的研究人员发现，PY#RATION1.6.0版本不仅能够进行网络枚举，还支持受损系统与C2之间的文件传输，反之亦然，以及键盘记录、Shell命令执行、主机枚举、网络浏览器Cookie和密码提取、剪贴板数据泄露和防病毒工具检测等多种功能。所有版本的PY#RATION木马都使用相同的C2地址。

主要功能

功能 | 描述
—|—
网络枚举 | 识别网络中的其他设备
文件传输 | 在受损系统与C2进行文件传输
键盘记录 | 记录用户输入的所有信息
Shell命令执行 | 在受害主机上执行Shell命令
Cookie和密码提取 | 获取浏览器存储的Cookies和密码
剪贴板数据泄露 | 窃取剪贴板中的信息
反病毒工具检测 | 识别安装在系统中的安全软件

PY#RATION木马的隐蔽性和强大功能使其成为网络攻击者的新宠，用户需提高警惕，避免落入钓鱼陷阱。请关注最新的网络安全动态，以保护你的系统安全。