Вредоносное ПО botaa3 находится в поддельных пакетах Python PyPi

В последнее время все больше и больше киберпреступников размещают свое вредоносное ПО в репозиториях для скриптов, надстроек браузера или другого контента. Одним из недавних примеров этого является вредоносное ПО botaa3, которое, по-видимому, находится во вредоносном пакете PyPi. PyPi или индекс пакетов Python - это хранилище миллионов фрагментов кода и сценариев Python, которыми разработчики делятся друг с другом. Конечно, botaa3 Malware не является легитимным скриптом - он выполняет вредоносные задачи, если выполняется в незащищенной системе.

Создатели вредоносного ПО botaa3 имитируют название одного из наиболее популярных пакетов PyPi - boto3. Вредоносное ПО botaa3 поставляется в сильно обфусцированном пакете PyPi, который использует шифрование XOR. Но что скрывает полезная нагрузка?

Содержимое вредоносного ПО botaa3

После запуска скрипт подключится к серверу злоумышленника, который также использует вводящее в заблуждение доменное имя - install.pypi-installer.com . Сервер управления получает некоторую информацию от имплантата:

• IP- и Mac-адрес жертвы.
• Версия операционной системы.
• Имя пользователя и имя хоста.
• Идентификатор процесса полезной нагрузки.

Злоумышленник может управлять вредоносным ПО botaa3 с помощью удаленных команд. Вредоносная программа способна выгружать и скачивать файлы, управлять файловой системой, выполнять удаленные команды и загружать дополнительные скрипты Python. Это означает, что вредоносное ПО botaa3 может быть очень гибким с точки зрения функциональности, что еще больше увеличивает его атакующий потенциал.

Для защиты вашей системы от вредоносного ПО botaa3 и аналогичных полезных нагрузок необходимо использовать новейшее антивирусное программное обеспечение. Кроме того, всегда загружайте контент из надежных источников - как видите, преступники часто имитируют имена законных сайтов, служб и файлов.