O Trojan PyXie RAT causa danos como, registro de chaves, roubo de credenciais de login e gravação de vídeos, podendo também ser usado para outros ataques, incluindo ransomware.
Essa operação criminosa cibernética tem como alvo organizações de saúde e educação com malware de Trojan personalizado, baseado em Python, que oferece aos invasores o controle quase total dos sistemas Windows com a capacidade de monitorar ações e roubar dados confidenciais.
As funções maliciosas do trojan de acesso remoto, apelidado de PyXie RAT, incluem registro de chaves, coleta de credenciais, gravação de vídeo, roubo de cookies, capacidade de realizar ataques man-in-the-middle (quando o hacker se coloca entre a vítima e sites relevantes, como sites de bancos e contas de email) e capacidade de implantar outras formas de malware nos sistemas infectados.
Onde o PyXie RAT se encontra?
Por mais que seja difícil encontrar esse malware, os pesquisadores de segurança cibernética do Blackberry Cylance encontraram traços desses ataques foram encontrados e o nomearam de PyXie por causa da maneira como seu código compilado usa uma extensão de arquivo ‘.pyx’ em vez do ‘.pyc’ normalmente associado ao Python.
O PyXie RAT está ativo desde pelo menos 2018 e é altamente personalizado, isso indica que muito tempo e recursos foram gastos em sua construção.
Esse malware normalmente chega até as vítimas através de uma técnica de carregamento lateral que utiliza aplicativos legítimos para ajudar a comprometer as vítimas.
Um desses aplicativos descobertos pelos pesquisadores era uma versão trojanizada de um jogo de código aberto, que quando baixado, instala secretamente a carga maliciosa, usando o PowerShell para escalar privilégios e ganhar persistência na máquina.
Depois de instalados com sucesso no sistema de destino, os hackers podem se mover pelo sistema e implementar comandos como desejarem. Além de ser usado para roubar nomes de usuário, senhas e outras informações no sistema, os pesquisadores observaram que há casos em que o PyXie está sendo usado para entregar ransomware em redes comprometidas.
Ainda não é certa a extensão total dos prejuízos que o PyXie RAT causou, mas os pesquisadores identificaram ataques contra mais de 30 organizações, predominantemente nos setores de saúde e educação, com centenas de máquinas que acreditam que foram infectadas.
Além de provavelmente ser um grupo de criminosos cibernéticos com muitos recursos, atualmente não se sabe quem está por trás do PyXie RAT, mas acredita-se que ele ainda esteja ativo.
Como posso me proteger?
Mas apesar de sua natureza sofisticada, os pesquisadores afirmam que ele pode ser protegido pelas práticas recomendadas de segurança cibernética e segurança corporativa, incluindo correções de sistema operacional e de aplicativos, tecnologia de proteção de terminais, auditoria, registro e monitoramento de terminais e atividades de rede e auditoria do uso de credenciais.
Antivírus Corporativo
O Antivírus Corporativo automatiza as atualizações e aumenta a segurança contra novos tipos de ameaças 24 horas por dia. Assim, seu ambiente tecnológico fica protegido de ataques, invasões, scripts maliciosos, spams, phishing, malwares etc.
Não quer correr riscos? Entre em contato conosco!