El malware botaa3 reside en paquetes falsos de PyPi Python

Últimamente, más y más ciberdelincuentes han estado colocando su software malicioso dentro de repositorios para scripts, complementos de navegador u otro tipo de contenido. Uno de los ejemplos recientes de esto es el botaa3 Malware, que parece residir en un paquete PyPi malicioso. PyPi, o el índice de paquetes de Python, es un repositorio de millones de fragmentos de código y scripts de Python que los desarrolladores comparten entre sí. Por supuesto, botaa3 Malware no es un script legítimo, ejecuta tareas maliciosas si se ejecuta en un sistema desprotegido.

Los creadores del malware botaa3 están imitando el nombre de uno de los paquetes PyPi más populares: boto3. El botaa3 Malware viene en un paquete PyPi muy ofuscado, que se basa en el cifrado XOR. Pero, ¿qué esconde la carga útil?

El contenido del malware botaa3

Una vez que se inicia el script, se conectará al servidor del atacante que también usa un nombre de dominio engañoso: install.pypi-installer.com . El servidor de control recibe información del implante:

• La dirección IP y Mac de la víctima.
• La versión del sistema operativo.
• Nombre de usuario y nombre de host.
• El ID de proceso de la carga útil.

El atacante puede controlar el malware botaa3 mediante comandos enviados de forma remota. El malware puede cargar y descargar archivos, administrar el sistema de archivos, ejecutar comandos remotos y cargar scripts Python adicionales. Esto significa que botaa3 Malware puede ser muy flexible en términos de funcionalidad, mejorando aún más su potencial de ataque.

La protección de su sistema contra el malware botaa3 y cargas útiles similares requiere el uso de un software antivirus actualizado. Además, asegúrese de descargar siempre contenido de fuentes confiables; como puede ver, los delincuentes a menudo imitan los nombres de sitios, servicios y archivos legítimos.