Botaa3 kenkėjiška programa yra netikruose PyPi Python paketuose

Pastaruoju metu vis daugiau kibernetinių nusikaltėlių savo kenkėjišką programinę įrangą talpina scenarijų, naršyklės priedų ar kitokio turinio saugyklose. Vienas iš naujausių to pavyzdžių yra botaa3 kenkėjiška programa, kuri, atrodo, yra kenkėjiškame PyPi pakete. „PyPi“ arba „Python Package Index“ yra milijonų „Python“ kodo fragmentų ir scenarijų, kuriuos kūrėjai dalijasi vieni su kitais, saugykla. Žinoma, botaa3 kenkėjiška programa nėra teisėtas scenarijus – ji vykdo kenkėjiškas užduotis, jei vykdoma neapsaugotoje sistemoje.

Botaa3 kenkėjiškos programos kūrėjai imituoja vieno iš populiaresnių PyPi paketų – boto3 – pavadinimą. „Bota3“ kenkėjiška programa pateikiama labai užtemdytame „PyPi“ pakete, kuris priklauso nuo XOR šifravimo. Bet ką slepia krovinys?

Botaa3 kenkėjiškos programos turinys

Kai scenarijus bus paleistas, jis prisijungs prie užpuoliko serverio, kuris taip pat naudoja klaidinantį domeno pavadinimą – install.pypi-installer.com . Valdymo serveris iš implanto gauna tam tikrą informaciją:

• Aukos IP ir Mac adresai.
• Operacinės sistemos versija.
• Vartotojo vardas ir prieglobos vardas.
• Naudingojo krovinio proceso ID.

Užpuolikas gali valdyti botaa3 kenkėjišką programą per nuotoliniu būdu siunčiamas komandas. Kenkėjiška programa gali įkelti ir atsisiųsti failus, valdyti failų sistemą, vykdyti nuotolines komandas ir įkelti papildomus Python scenarijus. Tai reiškia, kad „botaa3“ kenkėjiška programinė įranga gali būti labai lanksti funkcionalumo požiūriu ir dar labiau padidina jos atakų potencialą.

Norint apsaugoti sistemą nuo botaa3 kenkėjiškų programų ir panašių naudingų apkrovų, reikia naudoti atnaujintą antivirusinę programinę įrangą. Be to, visada atsisiųskite turinį iš patikimų šaltinių – kaip matote, nusikaltėliai dažnai imituoja teisėtų svetainių, paslaugų ir failų pavadinimus.