Intitulado PY#RATION, um malware se disfarça de assistente de voz do Windows, a Cortana, para roubar dados de usuários. Trata-se de um vírus de acesso remoto que se implanta em PCs alheios a partir de emails de phishing e que deixa seus executáveis escondidos em atalhos do sistema para que não passe pela varredura de antivírus.

Diferentes variações do malware já foram vistas por especialistas desde agosto. Os principais focos desses vírus são conseguir solidificar sua permanência no sistema e, em seguida, acessar dados, cookies salvos e área de transferência, e transferir arquivos. Não só pela Cortana, ele também se esconde em pastas, arquivos temporários e executáveis diversos.

Assim como outros RATs (trojan de acesso remoto), o PY#RATION possui uma série de recursos e capacidades, incluindo exfiltração de dados e keylogging. O que torna esse malware particularmente único é a utilização de websockets para comunicação e exfiltração de comando e controle (C2), que utiliza portas já abertas na conexão e evitam a detecção por firewalls e ferramentas de monitoramento de redes.

No email, o vírus aparece disfarçado como um suposto cliente, que coloca em anexo uma documentação necessária para proposta de negócios. Dentro do arquivo ZIP, há uma carteira de motorista de uma mulher do Reino Unido.

De acordo com o Securonix, o fato de ser um binário compilado em Python o torna extremamente flexível. Ele deve ser executado em variantes do Windows, OSX e Linux. Entre as recomendações, o site indica evitar abrir anexos de remetentes suspeitos enos formatos .zip, .iso e .img; a implementação de uma política de lista branca de aplicativos para restringir a execução de binários desconhecidos e o implante de logs adicionais em nível de processo, como Sysmon, para cobertura adicional de detecção de logs.