Malware: PY#RATION può mettere a serio rischio Windows

Gli esperti di sicurezza informatica di Securonix hanno individuato un nuovo malware destinato ai sistemi operativi Windows e avente funzionalità RAT (Remote Access Trojan). La minaccia si chiama PY#RATION e permette di prendere il controllo del dispositivo da remoto ed eseguire il furto dei dati e altre attività.

Malware: PY#RATION attacca Windows e prende il controllo da remoto

Andando più nello specifico, come può essere deducibile dal nome stesso, PY#RATION è stato scritto in Python. La versione 1.0 è stata scoperta ad agosto 2022, ma i ricercatori hanno analizzato il codice della versione 1.6.

Sulla base di quanto rilevato, la catena di infezione prevede in primo luogoo l’invio di email di phishing con un allegato ZIP protetto da una password, il quale contiene due file LNK che sembrano immagini JPG.

Aprendo i file di cui sopra viene contattato il server remoto, da cui vengono scaricati dei file TXT, successivamente convertiti in file BAT e salvati nella directory Temp di Windows.

All'utente saranno quindi mostrate sullo schermo due immagini (il fronte e il retro di una patente), ma intanto in background uno dei due file BAT scarica un terzo file BAT che a sua volta effettua il download di altri tre file: unrar.cert, setup.rar e assist.rar. Il primo viene decodificato in unrar.exe dal tool certutil.exe e sfruttato per estrarre il contenuto dei due archivi RAR: i file CortanaAssistance.exe (che è l'eseguibile del malware) e ctask.exe.

Per evitare di incappare in questa e in altre minacce informatiche e, dunque, per evitare di mettere a repentaglio la sicurezza e il buon funzionamento del PC è bene installare una valida soluzione antivirus, come nel caso di Norton 360 Premium.