Botaa3 Malware finns i falska PyPi Python-paket

På senare tid har fler och fler cyberbrottslingar planterat sin skadliga programvara i arkiv för skript, webbläsartillägg eller annan typ av innehåll. Ett av de senaste exemplen på detta är botaa3 Malware, som verkar finnas i ett skadligt PyPi-paket. PyPi, eller Python Package Index, är ett arkiv för miljontals Python-kodsnuttar och skript som utvecklare delar med varandra. Naturligtvis är botaa3 Malware inte ett legitimt skript – det kör skadliga uppgifter om det körs på ett oskyddat system.

Skaparna av botaa3 Malware härmar namnet på ett av de mer populära PyPi-paketen – boto3. Botaa3 Malware kommer i ett kraftigt obfuskerat PyPi-paket, som är beroende av XOR-kryptering. Men vad döljer nyttolasten?

Innehållet i botaa3 Malware

När skriptet har startat kommer det att ansluta till angriparens server som också använder ett missvisande domännamn – install.pypi-installer.com . Kontrollservern får viss information från implantatet:

• Offrets IP- och Mac-adress.
• Versionen av operativsystemet.
• Användarnamn och värdnamn.
• Process-ID för nyttolasten.

Angriparen kan kontrollera botaa3 Malware via fjärrsända kommandon. Skadlig programvara kan ladda upp och ladda ner filer, hantera filsystemet, utföra fjärrkommandon och ladda ytterligare Python-skript. Detta innebär att botaa3 Malware kan vara mycket flexibel när det gäller funktionalitet, vilket ytterligare förbättrar dess attackpotential.

Att skydda ditt system från botaa3 Malware och liknande nyttolaster kräver användning av antivirusprogram som är uppdaterad. Se också till att alltid ladda ner innehåll från pålitliga källor – som du kan se härmar brottslingar ofta namnen på legitima webbplatser, tjänster och filer.