最新的恶意软件可能很快会攻击Linux，Mac操作系统

根据该报告，最近发现的Windows信息窃取恶意软件与一个活动组链接为AridViper，该恶意软件被跟踪，并解释说它可能被用来感染Linux和Mac操作系统。

在调查AridViper活动时还暴露了第42单元命名为PyMICROPSIA的原始木马，该活动也被追踪为Desert Falcon和APT-C-23。至少从2011年起，一个讲阿拉伯语的网络间谍组织就将攻击重点放在了中东目标上。

AridViper主要在巴勒斯坦，埃及和土耳其开展业务，2015年，他们折衷的受害者人数超过3000人[PDF]；据全球研究与分析小组称。

在代码中启动新的攻击媒介：

• PyMICROPSIA是一种基于python的恶意软件，专门针对基于Windows的操作系统。网络犯罪分子使用二进制生成的pyInstaller。 Unit 42还发现了其发明人可能正在努力添加多平台支持的代码片段。
• 它主要用于Windows操作系统，但是代码包含有趣的代码片段，用于检查其他操作系统，例如单元42的“ posix”或“ drawin”。
• 它可能是恶意软件的开发人员在复制粘贴其他项目的代码时引入的，并且很可能会在以后的PyMICROPSIA Tornjan版本中删除。

数据盗窃和其他有效载荷的交付：

• 在分析PyMICROPSIA特洛伊木马程序时，第42单元在分析受感染的系统和有效负载中发现的恶意软件或从攻击者的命令和控制（C2）服务器下载时发现了大量功能。
• 信息窃取和控制功能列表包括数据盗窃，设备控制和其他有效负载分配功能。
• PyMICROPSIA利用python库的广泛用途，从信息和文件盗用到Windows进程，文件系统和注册表交互。
• 使用GetAsynckey状态API实现的木马键盘记录功能，该API是从C2服务器下载的单个有效负载的一部分。
• 下载的有效负载还用于通过减少受感染的“系统Windows启动”文件夹中的.LNK快捷方式来获得持久性。