Złośliwe oprogramowanie botaa3 znajduje się w fałszywych pakietach Pythona PyPi

Ostatnio coraz więcej cyberprzestępców umieszcza swoje złośliwe oprogramowanie w repozytoriach skryptów, dodatków do przeglądarek lub innego rodzaju treści. Jednym z ostatnich przykładów tego jest złośliwe oprogramowanie botaa3, które wydaje się znajdować w złośliwym pakiecie PyPi. PyPi lub Python Package Index to repozytorium milionów fragmentów kodu i skryptów Pythona, które programiści udostępniają sobie nawzajem. Oczywiście botaa3 Malware nie jest legalnym skryptem – wykonuje złośliwe zadania, jeśli jest uruchamiane na niezabezpieczonym systemie.

Twórcy botaa3 Malware naśladują nazwę jednego z popularniejszych pakietów PyPi – boto3. Malware botaa3 jest dostarczane w mocno zaciemnionym pakiecie PyPi, który opiera się na szyfrowaniu XOR. Ale co kryje ładunek?

Zawartość złośliwego oprogramowania botaa3

Po uruchomieniu skrypt połączy się z serwerem atakującego, który również używa mylącej nazwy domeny – install.pypi-installer.com . Serwer sterujący otrzymuje pewne informacje z implantu:

• Adres IP i Mac ofiary.
• Wersja systemu operacyjnego.
• Nazwa użytkownika i nazwa hosta.
• Identyfikator procesu ładunku.

Atakujący jest w stanie kontrolować botaa3 Malware za pomocą zdalnie wysyłanych poleceń. Złośliwe oprogramowanie jest w stanie przesyłać i pobierać pliki, zarządzać systemem plików, wykonywać zdalne polecenia i ładować dodatkowe skrypty Pythona. Oznacza to, że botaa3 Malware może być bardzo elastyczne pod względem funkcjonalności, co dodatkowo zwiększa jego potencjał ataku.

Ochrona systemu przed botaa3 Malware i podobnymi ładunkami wymaga korzystania z aktualnego oprogramowania antywirusowego. Upewnij się też, że zawsze pobierasz zawartość z wiarygodnych źródeł — jak widać, przestępcy często naśladują nazwy legalnych witryn, usług i plików.