Windows恶意软件包括对Linux和MacOS的检查

• 文件上传

• 有效负载下载和执行

• 浏览器凭证窃取

• 清除浏览历史记录和配置文件

• 截屏

• 键盘记录

• 压缩RAR文件以获取被盗信息

• 收集过程信息并终止过程

• 收集文件列表信息

• 删除文件

• 重新启动机器

• 收集Outlook .ost文件

• 杀死并禁用Outlook进程

• 删除，创建，压缩和泄露文件和文件夹

• 从USB驱动器收集信息，包括文件渗透

• 声音录制

• 执行命令

PyMICROPSIA通过HTTP POST请求与C2通信，它使用不同的统一资源标识符（URI）路径和变量，具体取决于所调用的功能。

研究人员注意到，用于C2通信的代码中有几个代码分支，其中一些代码在处理响应时将永远不会执行，这种情况表明该恶意软件正在积极开发中。

第42部门的研究人员分析的样本首次包括摘要片段，用于检查其他操作系统，可能是威胁行为者正在扩大其操作范围。

“ PyMICROPSIA旨在仅针对Windows操作系统，但是该代码包含有趣的代码片段，用于检查其他操作系统，例如“ posix ”或“ darwin ”读取Palo Alto Networks发布的分析。“这是一个有趣的发现，因为我们之前从未目睹过AridViper针对这些操作系统的情况 ，这可能代表了参与者开始探索的新领域。”

专家们并不排除这些检查可能是vxers从其他“项目”复制粘贴代码引入的。

PyMICROPSIA使用Python库来实现多种操作，包括数据盗窃，Windows进程和系统交互。

研究人员还记录了使用GetAsyncKeyState API作为单独的有效负载的一部分实现的按键记录功能。该恶意软件还通过在受感染Windows计算机的Windows启动文件夹中删除.LNK快捷方式来使用另一种有效负载来获得持久性。

PyMICROPSIA还能够通过常规方法（包括注册表项）实现持久性。

“ AridViper是一个活跃的威胁组织，将继续开发新工具作为其武器库的一部分。

PyMICROPSIA与其他现有的AridViper工具（如MICROPSIA）存在多个重叠。” 分析结束。“此外，基于我们分析过的PyMICROPSIA的不同方面，该恶意软件的多个部分仍未使用，这表明该行为者正在积极开发该恶意软件家族。”

原文来自: securityaffairs