Botaa3-Malware befindet sich in gefälschten PyPi-Python-Paketen
In letzter Zeit legen immer mehr Cyberkriminelle ihre Schadsoftware in Repositorys für Skripte, Browser-Add-Ons oder andere Inhalte an. Eines der jüngsten Beispiele dafür ist die botaa3-Malware, die sich in einem bösartigen PyPi-Paket zu befinden scheint. PyPi, oder der Python Package Index, ist ein Repository für Millionen von Python-Codeschnipseln und -Skripten, die Entwickler miteinander teilen. Natürlich ist die botaa3-Malware kein legitimes Skript – sie führt bösartige Aufgaben aus, wenn sie auf einem ungeschützten System ausgeführt wird.
Die Schöpfer der botaa3-Malware ahmen den Namen eines der beliebtesten PyPi-Pakete nach – boto3. Die botaa3-Malware kommt in einem stark verschleierten PyPi-Paket, das auf XOR-Verschlüsselung basiert. Aber was verbirgt die Nutzlast?
Der Inhalt der botaa3-Malware
Sobald das Skript gestartet wurde, verbindet es sich mit dem Server des Angreifers, der ebenfalls einen irreführenden Domänennamen verwendet – install.pypi-installer.com . Der Kontrollserver erhält einige Informationen vom Implantat:
- Die IP- und Mac-Adresse des Opfers.
- Die Version des Betriebssystems.
- Benutzername und Hostname.
- Die Prozess-ID der Nutzlast.
Der Angreifer ist in der Lage, die botaa3-Malware über aus der Ferne gesendete Befehle zu kontrollieren. Die Malware ist in der Lage, Dateien hoch- und herunterzuladen, das Dateisystem zu verwalten, Remote-Befehle auszuführen und zusätzliche Python-Skripte zu laden. Dadurch kann die botaa3-Malware hinsichtlich der Funktionalität sehr flexibel sein, was ihr Angriffspotential weiter erhöht.
Der Schutz Ihres Systems vor botaa3-Malware und ähnlichen Nutzlasten erfordert die Verwendung aktueller Antivirensoftware. Stellen Sie außerdem sicher, dass Sie immer Inhalte von vertrauenswürdigen Quellen herunterladen – wie Sie sehen, ahmen Kriminelle oft die Namen legitimer Websites, Dienste und Dateien nach.