Botaa3 Malware bevindt zich in valse PyPi Python-pakketten
De laatste tijd hebben steeds meer cybercriminelen hun kwaadaardige software in opslagplaatsen voor scripts, browser-add-ons of ander soort inhoud geplaatst. Een van de recente voorbeelden hiervan is de botaa3-malware, die zich in een kwaadaardig PyPi-pakket lijkt te bevinden. PyPi, of de Python Package Index, is een opslagplaats voor miljoenen Python-codefragmenten en scripts die ontwikkelaars met elkaar delen. Natuurlijk is de botaa3-malware geen legitiem script - het voert kwaadaardige taken uit als het wordt uitgevoerd op een onbeschermd systeem.
De makers van de botaa3-malware bootsen de naam na van een van de meer populaire PyPi-pakketten - boto3. De botaa3-malware wordt geleverd in een zwaar verduisterd PyPi-pakket, dat afhankelijk is van XOR-codering. Maar wat verbergt de lading?
De inhoud van de botaa3-malware
Zodra het script is gestart, maakt het verbinding met de server van de aanvaller die ook een misleidende domeinnaam gebruikt – install.pypi-installer.com . De controleserver ontvangt wat informatie van het implantaat:
- Het IP- en Mac-adres van het slachtoffer.
- De versie van het besturingssysteem.
- Gebruikersnaam & hostnaam.
- De proces-ID van de payload.
De aanvaller kan de botaa3-malware besturen via op afstand verzonden opdrachten. De malware kan bestanden uploaden en downloaden, het bestandssysteem beheren, externe opdrachten uitvoeren en extra Python-scripts laden. Dit betekent dat de botaa3-malware zeer flexibel kan zijn in termen van functionaliteit, waardoor het aanvalspotentieel verder wordt vergroot.
Om uw systeem te beschermen tegen botaa3 Malware en soortgelijke payloads is het gebruik van antivirussoftware vereist die up-to-date is. Zorg er ook voor dat u altijd inhoud van betrouwbare bronnen downloadt - zoals u kunt zien, bootsen criminelen vaak de namen van legitieme sites, services en bestanden na.