【安全资讯】研究人员发现了新型信息窃取木马PyMICROPSIA

Unit 42的研究人员一直在追踪威胁组织AridViper，该组织一直针对中东地区。经分析，研究人员发现该组织使用一种与MICROPSIA恶意软件家族有关的新型信息窃取木马，并将其命名为PyMICROPSIA，因为它是基于Python构建的。

攻击者在基础设施中托管两个其他示例，这些示例在PyMICROPSIA部署期间下载并使用。其他示例提供了持久性和按键记录功能。

  PyMICROPSIA 概述

PyMICROPSIA具有丰富的信息窃取和控制功能，包括：
- 文件上传。
- 有效负载下载和执行。
- 浏览器凭证窃取。清除浏览历史记录和配置文件。
- 截屏。
- 键盘记录。
- 压缩RAR文件以获取被盗信息。
- 收集过程信息并终止过程。
- 收集文件列表信息。
- 删除文件。
- 重新启动计算机。
- 收集Outlook .ost文件。结束并禁用Outlook进程。
- 删除，创建，压缩和泄露文件和文件夹。
- 从USB驱动器收集信息，包括文件渗透。
- 声音录制。
- 执行命令。

结论：
AridViper是一个活跃的威胁组织，正在继续开发新工具以强化武器库。PyMICROPSIA与其他现有的AridViper工具（如MICROPSIA）存在多个重叠。经分析发现， PyMICROPSIA的部分功能并未投入使用，这表明攻击者正在积极开发当中。