Эксперты подразделения Unit 42 компании Palo Alto Networks обнаружили вредоносное ПО для кражи информации Windows, связанное с группировкой AridViper, которое предположительно может быть использовано для заражения компьютеров под управлением Linux и macOS.

Троян, получивший название PyMICROPSIA, был обнаружен при расследовании активности арабоязычной кибершпионской группировки AridViper (также известной как Desert Falcon и APT-C-23), которая осуществляет атаки на ближневосточные цели как минимум с 2011 года.

PyMICROPSIA представляет собой вредоносную программу на основе Python, специально разработанную для атак на Windows-системы с использованием двоичного файла, созданного с помощью PyInstaller.

«PyMICROPSIA предназначен только для устройств под управлением ОС Windows, но его код содержит интересные фрагменты («posix» или «darwin»»), проверяющие другие операционные системы, — сказали специалисты.

Эксперты также полагают, что данные проверки могли быть введены разработчиками вредоносного ПО при копировании кода из других «проектов» и вполне могут быть удалены в будущих версиях трояна PyMICROPSIA.

Специалисты Unit 42 обнаружили огромное количество функций при анализе образцов вредоносных программ и полезных нагрузок, загружаемых с C&C-серверов.

Полный список возможностей вредоноса включает загрузку файлов, скачивание и выполнение полезной нагрузки, кражу учетных данных браузера, очистку истории просмотров и профилей, создание снимков экрана, кейлоггинг, сбор информации о процессах и их отключение, сбор информации о листинге файлов, удаление файлов, перезагрузку системы, сбор информации с USB-накопителей, запись аудио, выполнение команд и пр.

Возможность кейлоггинга трояна реализована с помощью API GetAsyncKeyState — части отдельной полезной нагрузки, которую вредонос загружает с C&C-сервера. Загруженные полезные данные также используются для обеспечения персистентности путем размещения ярлыка .LNK в папку автозагрузки Windows скомпрометированного компьютера. Однако PyMICROPSIA также будет использовать другие методы сохранения, включая настройку выделенных ключей реестра, которые будут перезапускать вредоносное ПО после перезапуска системы.

Источник: securitylab.ru