🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
ذكاء البرامج الضارة

نصائح إنتل حول تهديدات حصان طروادة الخاصة بالوصول عن بُعد من PyVil

استشارات CloudSek للمعلومات المتعلقة بالتهديدات على PyVil RAT، وهي جزء من ترسانة Evilnum، قادرة على استخراج البيانات والتقاط لقطات الشاشة وتسجيل المفاتيح.
Updated on
August 19, 2025
Published on
October 23, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
النوع
جرذ
قطاع
التكنولوجيا الماليةيتم استخدام حصان طروادة للوصول عن بُعد (RAT) بلغة Python، والذي يطلق عليه اسم PyVil، بواسطة Evilnum APT لجمع معلومات الشركة الحساسة. في سبتمبر 2020، استفادت الجهات الفاعلة في مجال التهديد من PyVil إلى جانب العديد من الأدوات الأخرى، مثل More_eggs و TerraPreter و TerraStealer و TerraTV لاستهداف شركات FinTech في جميع أنحاء المملكة المتحدة والاتحاد الأوروبي.ينتشر RAT هذا من خلال ملفات LNK الضارة التي تتنكر في صورة مستندات PDF شرعية يتم توزيعها عبر عمليات الاحتيال. يرسلون رسائل بريد إلكتروني خادعة مقنعة في شكل وثائق هوية مرتبطة بالخدمات المصرفية للضحية، بما في ذلك الفواتير وبيانات بطاقات الائتمان وما إلى ذلك، ويتم تجميع RAT باستخدام py2exe، الذي يحول نصوص python إلى ملفات Microsoft Windows التنفيذية. هذا يسمح لها بتنزيل وحدات جديدة لتوسيع وظائفها. تم تكوين RAT بحيث يمكنه الاحتفاظ بتعليمات المتصفح عند الاتصال بخادم الأوامر والتحكم (C2). تتم اتصالات C2 عبر طلبات POST HTTP ويتم تشفير RC4 باستخدام مفتاح مشفر، مشفر باستخدام Base64 (يحول البيانات الثنائية إلى تنسيق نصي). الميزات الرئيسية لـ PyVil هي:
  • تسجيل المفاتيح
  • التقاط لقطات شاشة
  • جمع المعلومات من الأنظمة المصابة
تم تعقيد كود Python داخل py2exe بطبقات إضافية من التشفير لمنع فك تشفير الحمولة باستخدام الأدوات الموجودة.[/vc_wp_text] [vc_wp_text]

التأثير

  1. يمكن أن يؤدي تسرب معلومات PII إلى سرقة الهوية.
  2. يمكن أن تكلف الوثائق/الدردشات السرية التي يتم تسريبها للجمهور سمعة الفرد أو المنظمة.
  3. بمجرد إصابة الجهاز، يمكن استخدامه كبوت لتنفيذ هجمات DDoS، مما يؤدي إلى عدم إمكانية الوصول إلى الخدمات.
  4. تتيح البرامج الضارة لمشغليها الوصول إلى تفاصيل الضحية، والتي يتم استخدامها بعد ذلك لمزيد من خداع الضحايا أو لتنفيذ هجمات الهندسة الاجتماعية عليهم.
[/vc_wp_text] [vc_wp_text]

عوامل التخفيف

  1. لا تفتح رسائل البريد الإلكتروني المشبوهة أو غير المرغوب فيها، خاصة تلك الواردة من مرسلين مجهولين أو مشتبه بهم.
  2. حظر تثبيت البرامج من مصادر غير معروفة.
  3. قم بالتنزيل فقط من المصادر ذات الصلة والموثوقة.
  4. قم بعمل نسخة احتياطية من بياناتك على فترات منتظمة.
  5. استخدم ماسحًا موثوقًا لاكتشاف البرامج الضارة.
  6. قم بتعطيل نظام التشغيل Windows PowerShell، وهو إطار التشغيل الآلي للمهام.
[/vc_wp_text] [vc_wp_text]

مؤشرات التسوية

النطاقات
  • voipasst [.] com
  • voipreq12 [.] com
  • الاتصالات [.] com
  • نطاق إدارة علاقات العملاء [.] net
  • إدارة العملاء المحتملين [.] net
  • fxmt4x [.] com
  • xlmfx [.] com
  • telefx [.] net
  • دعم الصوت [.] com
  • troquotesys [.] com
  • إكستراسيكتور [.] com
  • veritechx [.] com
  • quotingtrx [.] com
  • vvxtech [.] net
  • كوربكستيك [.] com
عناوين IP
  • 193 [.] 56 [.] 28 [.] 201
  • 185 [.] 236 [.] 230 [.] 25
  • [5] 206 [.] 227 [.] 81
  • 176 [.] 107 [.] 188 [.] 175
رابط
  • db5d09edc2e9676a41f26f5f4310d9d13ade801b1d37 af7139008362d5f1 f1
  • 3b7cd07e87902 deae4b482e987de9e25a93a55ec783884e84e846 dc55c346 قبل الميلاد
  • c7cf5c62ecfade27338acb2cc91a06c2615db97711 f2558a9379e8a8a5306720
  • f5f79e2169 ديسيبل 3bb7ae3ff4a0f40659d11069e69e7e69e74f5469659 a708e829e
  • cff5ed4de201256678 c7c068c1dbda5c47f4b322b618981693b1fd07a0ea7e68
  • 83c375dddadb8467955 f5e124 cf4e8d6e78c51c03fb7393 dc810a243ba1a90
ملف PDF تم إسقاطه
  • 048388 c04738763c0ec57124 e3a88fc82a545639636 fb5ed639 788 1d6ced9
  • 11d9a87b144c0eaf7e8de1e1de1b08117d464 ed7e716e935e0c7a7e03edc
  • 0b95c8c70d2d47baef15d0299cd7e273e8a59a0420921632b21789 a80aef0
ملف pyVil py2exe قابل للتنفيذ
  • f388a2ebbb6a7e577e8a6205e87d5b2975e7c08464123 cc36e8e3d 437e9a523
  • 130e0536 cdb4e9f7cfb273dbab9e196a51d1217 cd4b981847 af6314 f46b052
  • d6343a07357 e5443d6a59f10e1606796 c46bec3cbe5968 ac04b0f082d6fecf
طبقة التشويش الأولى من Pvil
  • 568ec03a27740 f8babc 3513948a44ce1a2944 d05f3d454 ce345 e67a0634a4a73
طبقة التشويش الثانية المدنية
  • 63 أمبير 4 ب 6 ص 72 ص 3 أ 0886364 أ 5 إيب سي 0009 ج 6 د 8 ج 27 د 93 ج 9 د 6 ج 8107 ب 6 ج 025 قدم 34
مكتبات بيفيل بايثون
  • 1a9ecb83acb64b23f7192e76c4b4b274b278f10d2223512087b87230e411b4
  • 9dfb040dab1fd05fbccf69ff3461295815 edc463a61a6304 af18 a72f82 bc534
  • 8 قدم مربع 2 قدم 5 سم 74 قدم 38 قدم مكعب 39 قدم مكعب في الدقيقة 17 إطار في الدقيقة 6 أ 62 عمق 5822 سم 458215619 سم 1 ب 2 ج 2 ج 2 إيب 345 إطار 21 د 1265
  • 3f3738e4606e85a382319269405e72a928a8a761273914 c52342b116 cbddfc
  • a787 ecc380021b3b7115c97242b06706a0a1e41 efe1e1ef1e1ef1b 734552 d74384 bae22 ec
  • 062 إد 9 قدم 40 قدم مكعب 330 قدم قدم 63 قدم مربع 401521 ديسيبل 23 قدم 93 ب 55 270 38 قدم 88 قدم 70 د 9 فدان 39
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more