Los investigadores de BlackBerry Cylance han descubierto recientemente un malware troyano de acceso remoto (RAT) basado en Python denominado “PyXie” por su extensión “.pyx”. El malware se ha implementado en una campaña en curso la cual se dirige a una amplia gama de industrias como la de salud y educación, con el fin de tomar el control de los sistemas Windows con la capacidad de monitorear acciones y robar datos confidenciales, entre otros.
PyXie utiliza una técnica de carga lateral que aprovecha las aplicaciones legítimas para descargar los componentes de la primera etapa del malware, los cuales son archivos DLL. En la segunda etapa el malware es el principal responsable de instalarse, configurar la persistencia y generar un nuevo proceso para inyectar la carga útil de la tercera etapa. Por último, se utiliza un descargador designado “Modo Cobalto” que tiene función multipropósito como la conexión a un servidor de command and control (C&C).
El troyano se ha observado en la naturaleza desde al menos el 2018 sin mucha atención de la industria de la ciberseguridad. Está altamente personalizado, lo que indica que se ha invertido mucho tiempo y recursos en su construcción. El hecho de que ha permanecido bajo el radar durante tanto tiempo definitivamente muestra un nivel de ofuscación y sigilo en línea con una operación ciberdelincuente sofisticada.
Se recomienda lo siguiente:
| https://threatvector.cylance.com/en_us/hom... |
| Producto | Versión |
|---|---|
| Windows |
7 8 8.1 10 |