Вредоносная программа Python использует новый хитрый метод
вычисления techradar.com Новости

Вредоносная программа Python использует новый хитрый метод

19 декабря 2022 г.

Угрозы, создающие Python вредоносное ПО, становятся все лучше, а их полезную нагрузку все труднее обнаружить, утверждают исследователи. .

Проанализировав недавно обнаруженную вредоносную нагрузку, компания JFrog сообщила, как злоумышленники использовали новую технику — антиотладочный код — чтобы усложнить исследователям анализ полезной нагрузки и понимание логики кода.

Помимо «обычных» инструментов и методов запутывания, хакеры, создавшие пакет «cookiezlog», использовали антиотладочный код, чтобы помешать работе инструментов динамического анализа.

В первый раз

Согласно JFrog, такой метод был обнаружен в вредоносном ПО для PyPI впервые.

«Сегодня большинство вредоносных программ для PyPI пытаются избежать статического обнаружения, используя различные методы: от примитивного искажения переменных до изощренных методы выравнивания кода и стеганографии», — объясняют исследователи в запись в блоге.

«Использование этих методов делает пакет крайне подозрительным, но мешает начинающим исследователям понять точную работу вредоносного ПО с помощью инструментов статического анализа. Однако любой инструмент динамического анализа, такой как песочница для вредоносных программ, быстро удаляет слои статической защиты вредоносного ПО и раскрывает лежащую в его основе логику».

Подробнее

> Вредоносные пакеты PyPi превращают Discord в вредоносное ПО для кражи паролей<сильный>

> Это случайное изображение распространяет вредоносный пакет PyPl с помощью GitHub

> Это лучшие онлайн-курсы Python

Усилия хакеров кажутся тщетными, поскольку исследователям JFrog удалось обойти обходные пути и заглянуть прямо в полезную нагрузку. После анализа исследователи описали полезную нагрузку как «разочаровывающе простую» по сравнению с усилиями, предпринятыми для ее сокрытия. Тем не менее, это все еще вредно, так как cookiezlog — это граббер паролей, способный красть «автозаполняемые» пароли, сохраненные в кешах данных популярных браузеров.

Собранные сведения затем отправляются злоумышленникам через хук Discord, который действует как командный и управляющий сервер.

К сожалению, JFrog не раскрыл ни названия группы, стоящей за вредоносной программой, ни методов распространения, используемых для захвата паролей конечными точками жертв. Несмотря на это, новости о вредоносных программах PyPI появляются чаще, что позволяет предположить, что разработчики Python стали основной целью.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE