O malware botaa3 reside em pacotes PyPi Python falsos

Ultimamente, mais e mais cibercriminosos plantam seus softwares maliciosos dentro de repositórios para scripts, complementos de navegador ou outro tipo de conteúdo. Um dos exemplos recentes disso é o Malware botaa3, que parece residir em um pacote PyPi malicioso. PyPi, ou Python Package Index, é um repositório para milhões de fragmentos de código Python e scripts que os desenvolvedores compartilham entre si. Claro, o Malware botaa3 não é um script legítimo - ele executa tarefas maliciosas se for executado em um sistema desprotegido.

Os criadores do malware botaa3 estão imitando o nome de um dos pacotes PyPi mais populares - boto3. O Malware botaa3 vem em um pacote PyPi fortemente ofuscado, que depende da criptografia XOR. Mas o que a carga útil esconde?

O conteúdo do malware botaa3

Assim que o script for iniciado, ele se conectará ao servidor do invasor, que também usa um nome de domínio enganoso - install.pypi-installer.com . O servidor de controle recebe algumas informações do implante:

• O endereço IP e Mac da vítima.
• A versão do sistema operacional.
• Nome de usuário e nome do host.
• O ID do processo da carga útil.

O invasor é capaz de controlar o malware botaa3 por meio de comandos enviados remotamente. O malware é capaz de fazer upload e download de arquivos, gerenciar o sistema de arquivos, executar comandos remotos e carregar scripts Python adicionais. Isso significa que o Malware botaa3 pode ser muito flexível em termos de funcionalidade, aumentando ainda mais seu potencial de ataque.

A proteção do seu sistema contra o malware botaa3 e cargas semelhantes requer o uso de um software antivírus atualizado. Além disso, certifique-se de sempre baixar conteúdo de fontes confiáveis - como você pode ver, os criminosos costumam imitar os nomes de sites, serviços e arquivos legítimos.