Το κακόβουλο λογισμικό botaa3 βρίσκεται σε πλαστά πακέτα PyPi Python
Τον τελευταίο καιρό, όλο και περισσότεροι εγκληματίες του κυβερνοχώρου έχουν τοποθετήσει το κακόβουλο λογισμικό τους μέσα σε αποθετήρια για σενάρια, πρόσθετα προγράμματος περιήγησης ή άλλου είδους περιεχόμενο. Ένα από τα πρόσφατα παραδείγματα αυτού είναι το κακόβουλο λογισμικό botaa3, το οποίο φαίνεται να βρίσκεται σε ένα κακόβουλο πακέτο PyPi. Το PyPi, ή ο Ευρετήριο Πακέτων Python, είναι ένα αποθετήριο για εκατομμύρια αποσπάσματα κώδικα Python και σενάρια που μοιράζονται οι προγραμματιστές μεταξύ τους. Φυσικά, το κακόβουλο λογισμικό botaa3 δεν είναι νόμιμο σενάριο – εκτελεί κακόβουλες εργασίες εάν εκτελεστεί σε μη προστατευμένο σύστημα.
Οι δημιουργοί του κακόβουλου λογισμικού botaa3 μιμούνται το όνομα ενός από τα πιο δημοφιλή πακέτα PyPi - το boto3. Το κακόβουλο λογισμικό botaa3 έρχεται σε ένα πακέτο PyPi με βαριά σύγχυση, το οποίο βασίζεται στην κρυπτογράφηση XOR. Τι κρύβει όμως το ωφέλιμο φορτίο;
Τα περιεχόμενα του κακόβουλου λογισμικού botaa3
Μόλις εκκινηθεί το σενάριο, θα συνδεθεί στον διακομιστή του εισβολέα που χρησιμοποιεί επίσης ένα παραπλανητικό όνομα τομέα – install.pypi-installer.com . Ο διακομιστής ελέγχου λαμβάνει ορισμένες πληροφορίες από το εμφύτευμα:
- Η διεύθυνση IP και Mac του θύματος.
- Η έκδοση του λειτουργικού συστήματος.
- Όνομα χρήστη και όνομα κεντρικού υπολογιστή.
- Το αναγνωριστικό διαδικασίας του ωφέλιμου φορτίου.
Ο εισβολέας μπορεί να ελέγξει το κακόβουλο λογισμικό botaa3 μέσω εντολών που αποστέλλονται εξ αποστάσεως. Το κακόβουλο λογισμικό είναι σε θέση να ανεβάζει και να κατεβάζει αρχεία, να διαχειρίζεται το σύστημα αρχείων, να εκτελεί απομακρυσμένες εντολές και να φορτώνει επιπλέον σενάρια Python. Αυτό σημαίνει ότι το κακόβουλο λογισμικό botaa3 μπορεί να είναι πολύ ευέλικτο όσον αφορά τη λειτουργικότητα, ενισχύοντας περαιτέρω τις δυνατότητες επίθεσης.
Η προστασία του συστήματός σας από το κακόβουλο λογισμικό botaa3 και παρόμοια ωφέλιμα φορτία απαιτεί τη χρήση ενημερωμένου λογισμικού προστασίας από ιούς. Επίσης, φροντίστε να κατεβάζετε πάντα περιεχόμενο από αξιόπιστες πηγές – όπως μπορείτε να δείτε, οι εγκληματίες συχνά μιμούνται τα ονόματα νόμιμων τοποθεσιών, υπηρεσιών και αρχείων.
