Výzkumníci kybernetické bezpečnosti upozornili na dva škodlivé balíčky, které byly nahrány do repozitáře Python Package Index (PyPI) a obsahují schopnosti exfiltrace citlivých informací z kompromitovaných hostitelů, podle nových zjištění z Fortinet FortiGuard Labs.
Balíčky, pojmenované zebo a cometlogger, přilákaly po 118 a 164 staženích, než byly staženy. Podle statistik ClickPy pocházela většina těchto stažení ze Spojených států, Číny, Ruska a Indie. „zebo je typický příklad malware, s funkcemi navrženými pro sledování, exfiltraci dat a neoprávněnou kontrolu,“ říká bezpečnostní výzkumnice Jenna Wang, dodávajíc „cometlogger také vykazuje znaky škodlivého chování, včetně dynamické manipulace se soubory, injekce webhooků, krádeže informací a kontrol proti virtuálním strojům.“
První z obou balíčků, zebo, používá techniky obfuskace, jako jsou hexadecimálně kódované řetězce, k utajení URL příkazu a řídicího (C2) serveru, se kterým komunikuje prostřednictvím HTTP požadavků. Také zahrnuje řadu funkcí pro sběr dat, včetně využití knihovny pynput pro zaznamenávání stisků kláves a ImageGrab pro periodické pořizování screenshotů každou hodinu a jejich ukládání do místní složky před nahráním na bezplatnou službu pro hostování obrázků ImgBB pomocí API klíče získaného z C2 serveru.
Kromě exfiltrace citlivých dat malware nastavuje perzistenci na zařízení vytvořením dávkového skriptu, který spouští Python kód a přidává jej do složky Spuštění systému Windows, takže se automaticky vykonává při každém restartu.
Cometlogger, na druhou stranu, je mnohem bohatší na funkce a sbírá širokou škálu informací, včetně cookies, hesel, tokenů a dat souvisejících s účty z aplikací jako Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify a Roblox. Je také schopen sbírat metadata systému, informace o síti a Wi-Fi, seznam běžících procesů a obsah schránky. Dále obsahuje kontroly, které zabraňují spuštění ve virtualizovaných prostředích a ukončují procesy související s webovými prohlížeči, aby zajistily neomezený přístup k souborům.
„Asynchronním vykonáváním úloh skript maximalizuje efektivitu, kradou velké množství dat v krátkém čase,“ uvedla Wang. „I když některé funkce by mohly být součástí legitimního nástroje, nedostatek transparentnosti a podezřelá funkcionalita činí jeho spuštění nebezpečným. Vždy pečlivě kontrolujte kód před jeho spuštěním a vyhýbejte se interakci se skripty z neověřených zdrojů.“
Pokud Vás tento článek zaujal, sledujte nás na Twitteru a LinkedIn pro více exkluzivního obsahu, který zveřejňujeme.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
