Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

PyXie, una RAT escrita en Python

  • Publicado: 04/12/2019
  • Importancia: Media

Recursos afectados

PyXie es un troyano el cual ha estado activo desde el año 2018 pasando desapercibido hasta la fecha, su nombre se debe a la extensión que agrega a los archivos (.pyx), este malware es utilizado por ciberdelincuentes con el fin de recopilar credenciales de inicio de sesión, grabar videos y componente de registro de teclas.

Entre las capacidades identificadas actualmente asociadas a PyXie, se encuentran las siguientes: 

  • Los binarios legítimos de LogMeIn y Google se utilizan para ejecutar las cargas útiles.
  • Una aplicación del juego Tetris [Troyanizada] para cargar y ejecutar etapas de Cobalt Strike desde recursos compartidos de red internos.
  • Uso de un Dropper [Descargador] con similitudes al troyano bancario Shifu llamado "Cobalt Mode".
  • El uso de Sharphound [Realiza un mapeo de la red interna] para recopilar información del directorio activo de las organizaciones afectadas.
  • Un intérprete de Python compilado personalizado que utiliza códigos de operación codificados para dificultar el análisis.
  • Uso de un algoritmo RC4 modificado para encriptar cargas útiles con una clave única por host comprometido.

Pyxie.png

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas