Botaa3 Malware findes i falske PyPi Python-pakker

På det seneste har flere og flere cyberkriminelle plantet deres ondsindede software i depoter til scripts, browsertilføjelser eller anden form for indhold. Et af de seneste eksempler på dette er botaa3 Malware, som ser ud til at ligge i en ondsindet PyPi-pakke. PyPi, eller Python Package Index, er et opbevaringssted for millioner af Python-kodestykker og scripts, som udviklere deler med hinanden. Botaa3 Malware er naturligvis ikke et legitimt script - det udfører ondsindede opgaver, hvis det udføres på et ubeskyttet system.

Skaberne af botaa3 Malware efterligner navnet på en af de mere populære PyPi-pakker – boto3. Botaa3 Malware kommer i en stærkt sløret PyPi-pakke, som er afhængig af XOR-kryptering. Men hvad skjuler nyttelasten?

Indholdet af botaa3 Malware

Når scriptet er startet, vil det oprette forbindelse til hackerens server, der også bruger et vildledende domænenavn – install.pypi-installer.com . Kontrolserveren modtager nogle oplysninger fra implantatet:

• IP- og Mac-adressen på offeret.
• Udgaven af operativsystemet.
• Brugernavn og værtsnavn.
• Nyttelastens proces-id.

Angriberen er i stand til at styre botaa3 Malware via fjernudsendte kommandoer. Malwaren er i stand til at uploade og downloade filer, administrere filsystemet, udføre fjernkommandoer og indlæse yderligere Python-scripts. Dette betyder, at botaa3 Malware kan være meget fleksibel med hensyn til funktionalitet, hvilket yderligere forbedrer dens angrebspotentiale.

Beskyttelse af dit system mod botaa3 Malware og lignende nyttelast kræver brug af antivirussoftware, der er opdateret. Sørg også for altid at downloade indhold fra troværdige kilder – som du kan se, efterligner kriminelle ofte navnene på legitime websteder, tjenester og filer.