Botaa3 Malware ligger i falske PyPi Python-pakker

I det siste har flere og flere nettkriminelle plantet sin ondsinnede programvare i depoter for skript, nettlesertillegg eller annen type innhold. Et av de siste eksemplene på dette er botaa3 Malware, som ser ut til å ligge i en ondsinnet PyPi-pakke. PyPi, eller Python Package Index, er et depot for millioner av Python-kodebiter og skript som utviklere deler med hverandre. Botaa3 Malware er selvfølgelig ikke et legitimt skript – det utfører ondsinnede oppgaver hvis det kjøres på et ubeskyttet system.

Skaperne av botaa3 Malware etterligner navnet på en av de mer populære PyPi-pakkene – boto3. Botaa3 Malware kommer i en svært skjult PyPi-pakke, som er avhengig av XOR-kryptering. Men hva skjuler nyttelasten?

Innholdet i botaa3 Malware

Når skriptet er lansert, kobles det til angriperens server som også bruker et villedende domenenavn – install.pypi-installer.com . Kontrollserveren mottar noe informasjon fra implantatet:

• IP- og Mac-adressen til offeret.
• Versjonen av operativsystemet.
• Brukernavn og vertsnavn.
• Prosess-IDen til nyttelasten.

Angriperen er i stand til å kontrollere botaa3 Malware via eksternt sendte kommandoer. Skadevaren er i stand til å laste opp og laste ned filer, administrere filsystemet, utføre eksterne kommandoer og laste ytterligere Python-skript. Dette betyr at botaa3 Malware kan være svært fleksibel når det gjelder funksjonalitet, noe som øker angrepspotensialet ytterligere.

Beskyttelse av systemet ditt mot botaa3 Malware og lignende nyttelast krever bruk av antivirusprogramvare som er oppdatert. Sørg også for å alltid laste ned innhold fra pålitelige kilder – som du kan se, etterligner kriminelle ofte navnene på legitime nettsteder, tjenester og filer.