O malware botaa3 reside em pacotes PyPi Python falsos
Ultimamente, mais e mais cibercriminosos plantam seus softwares maliciosos dentro de repositórios para scripts, complementos de navegador ou outro tipo de conteúdo. Um dos exemplos recentes disso é o Malware botaa3, que parece residir em um pacote PyPi malicioso. PyPi, ou Python Package Index, é um repositório para milhões de fragmentos de código Python e scripts que os desenvolvedores compartilham entre si. Claro, o Malware botaa3 não é um script legítimo - ele executa tarefas maliciosas se for executado em um sistema desprotegido.
Os criadores do malware botaa3 estão imitando o nome de um dos pacotes PyPi mais populares - boto3. O Malware botaa3 vem em um pacote PyPi fortemente ofuscado, que depende da criptografia XOR. Mas o que a carga útil esconde?
O conteúdo do malware botaa3
Assim que o script for iniciado, ele se conectará ao servidor do invasor, que também usa um nome de domínio enganoso - install.pypi-installer.com . O servidor de controle recebe algumas informações do implante:
- O endereço IP e Mac da vítima.
- A versão do sistema operacional.
- Nome de usuário e nome do host.
- O ID do processo da carga útil.
O invasor é capaz de controlar o malware botaa3 por meio de comandos enviados remotamente. O malware é capaz de fazer upload e download de arquivos, gerenciar o sistema de arquivos, executar comandos remotos e carregar scripts Python adicionais. Isso significa que o Malware botaa3 pode ser muito flexível em termos de funcionalidade, aumentando ainda mais seu potencial de ataque.
A proteção do seu sistema contra o malware botaa3 e cargas semelhantes requer o uso de um software antivírus atualizado. Além disso, certifique-se de sempre baixar conteúdo de fontes confiáveis - como você pode ver, os criminosos costumam imitar os nomes de sites, serviços e arquivos legítimos.