Złośliwe oprogramowanie botaa3 znajduje się w fałszywych pakietach Pythona PyPi
Ostatnio coraz więcej cyberprzestępców umieszcza swoje złośliwe oprogramowanie w repozytoriach skryptów, dodatków do przeglądarek lub innego rodzaju treści. Jednym z ostatnich przykładów tego jest złośliwe oprogramowanie botaa3, które wydaje się znajdować w złośliwym pakiecie PyPi. PyPi lub Python Package Index to repozytorium milionów fragmentów kodu i skryptów Pythona, które programiści udostępniają sobie nawzajem. Oczywiście botaa3 Malware nie jest legalnym skryptem – wykonuje złośliwe zadania, jeśli jest uruchamiane na niezabezpieczonym systemie.
Twórcy botaa3 Malware naśladują nazwę jednego z popularniejszych pakietów PyPi – boto3. Malware botaa3 jest dostarczane w mocno zaciemnionym pakiecie PyPi, który opiera się na szyfrowaniu XOR. Ale co kryje ładunek?
Zawartość złośliwego oprogramowania botaa3
Po uruchomieniu skrypt połączy się z serwerem atakującego, który również używa mylącej nazwy domeny – install.pypi-installer.com . Serwer sterujący otrzymuje pewne informacje z implantu:
- Adres IP i Mac ofiary.
- Wersja systemu operacyjnego.
- Nazwa użytkownika i nazwa hosta.
- Identyfikator procesu ładunku.
Atakujący jest w stanie kontrolować botaa3 Malware za pomocą zdalnie wysyłanych poleceń. Złośliwe oprogramowanie jest w stanie przesyłać i pobierać pliki, zarządzać systemem plików, wykonywać zdalne polecenia i ładować dodatkowe skrypty Pythona. Oznacza to, że botaa3 Malware może być bardzo elastyczne pod względem funkcjonalności, co dodatkowo zwiększa jego potencjał ataku.
Ochrona systemu przed botaa3 Malware i podobnymi ładunkami wymaga korzystania z aktualnego oprogramowania antywirusowego. Upewnij się też, że zawsze pobierasz zawartość z wiarygodnych źródeł — jak widać, przestępcy często naśladują nazwy legalnych witryn, usług i plików.