🐍 Yangi Python backdoor brauzer va cloud credential’larni o‘g‘irlamoqda

Kiberxavfsizlik tadqiqotchilari yangi Python asosidagi backdoor framework — DEEP#DOOR ni aniqladi. Ushbu zararli dastur tizimga yashirin kirib, uzoq muddatli nazoratni o‘rnatish va keng ko‘lamdagi maxfiy ma’lumotlarni o‘g‘irlash imkoniyatiga ega.

Hujum odatda phishing orqali tarqatiladigan install_obf.bat nomli batch skript bilan boshlanadi. Ushbu skript Windows xavfsizlik mexanizmlarini o‘chiradi, ichiga yashirilgan Python payload (svc.py) ni ajratib chiqaradi va tizimda bir nechta usullar orqali doimiy (persistence) o‘rnatadi.

"Malware Startup papkasi, Registry Run key’lar, scheduled task’lar va hatto WMI orqali o‘zini qayta-qayta tiklab turadi."

Bu esa uni tizimdan tozalashni ancha qiyinlashtiradi.

Mazkur hujumning eng muhim jihati — Python payload to‘g‘ridan-to‘g‘ri dropper ichiga joylashtirilgan. Bu esa tashqi serverlarga qayta-qayta murojaat qilishni kamaytiradi va forensik aniqlash imkoniyatlarini keskin pasaytiradi.

Malware ishga tushgach, u bore[.]pub nomli Rust asosidagi TCP tunneling xizmati orqali attacker bilan aloqa o‘rnatadi. Bu kanal orqali hacker tizimni to‘liq boshqarishi va kuzatishi mumkin.

DEEP#DOOR quyidagi imkoniyatlarga ega:

• Reverse shell orqali masofadan boshqaruv
• Tizim haqida to‘liq ma’lumot yig‘ish (reconnaissance)
• Keylogging va clipboard monitoring
• Screenshot olish va webcam orqali kuzatish
• Mikrofon orqali audio yozib olish
• Brauzer credential’larini o‘g‘irlash (Chrome, Firefox)
• SSH kalitlarini chiqarib olish
• Windows Credential Manager ma’lumotlarini o‘g‘irlash
• Cloud credential’lar (AWS, Google Cloud, Azure) ni qo‘lga kiritish

"Tunneling xizmatidan foydalanish attackerga alohida C2 server kerak emasligini ta’minlaydi va trafikni oddiy faoliyat sifatida yashiradi."

Bundan tashqari, malware juda kuchli anti-detection mexanizmlariga ega. U sandbox va virtual mashinalarni aniqlaydi, debugger’lardan qochadi, Windows xavfsizlik tizimlariga (AMSI, ETW, Defender) aralashadi va log yozuvlarini o‘chiradi.

Shuningdek, u NTDLL unhooking, SmartScreen bypass va PowerShell loglarini o‘chirish kabi texnikalardan foydalanadi. Bu esa incident response jarayonini ancha murakkablashtiradi.

"DEEP#DOOR — bu to‘liq funksional RAT bo‘lib, uzoq muddatli espionage va tizim ichida lateral harakat qilish imkonini beradi."

Malware o‘zining persistence mexanizmlarini doimiy tekshiradi. Agar ular o‘chirilsa, avtomatik ravishda qayta tiklanadi. Bu esa uni oddiy antivirus yoki qo‘lda tozalash usullari bilan yo‘q qilishni deyarli imkonsiz qiladi.

Ushbu holat kiberjinoyatchilar tobora ko‘proq fileless va script-based hujumlarga o‘tayotganini ko‘rsatadi. Python kabi interpretatsiya qilinadigan tillardan foydalanish esa aniqlashni yanada qiyinlashtirmoqda.