У этого похитителя информации злобное жало для разработчиков Python

У этого похитителя информации злобное жало для разработчиков Python

18 ноября 2022 г.

Кибербезопасность исследователи из Checkmarx обнаружили более двух десятков вредоносных пакетов в PyPI, популярном репозитории для разработчиков Python, и опубликовали свои выводы в новом отчете отчет.

Эти вредоносные пакеты, разработанные так, чтобы выглядеть почти так же, как легитимные, пытаются обманом заставить безрассудных разработчиков загрузить и установить неправильный пакет, тем самым распространяя вредоносное ПО.

Эта практика известна как опечатка и довольно популярна среди киберпреступников, атакующих разработчиков программного обеспечения.

Кража Infostealer

Чтобы скрыть вредоносное ПО, злоумышленники используют два уникальных подхода: стеганографию и полиморфизм.

Стеганография – это метод сокрытия кода внутри изображения, который позволяет злоумышленникам распространять вредоносный код через, казалось бы, безобидные файлы .JPG и .PNG.

Полиморфное вредоносное ПО, с другой стороны, изменяет полезную нагрузку при каждой установке, таким образом успешно избегая антивирусных программ и других решений кибербезопасности.

Здесь злоумышленники использовали эти методы для доставки WASP, информационный стилер, способный захватывать учетные записи Discord людей, пароли, информацию о криптовалютном кошельке, данные кредитной карты, а также любую другую информацию о конечная точка жертвы кажется интересной.

После идентификации данные отправляются обратно злоумышленникам через жестко заданный адрес веб-перехватчика Discord.

Похоже, что эта кампания является маркетинговым ходом, поскольку, по всей видимости, исследователи заметили злоумышленников, рекламирующих инструмент в даркнете за 20 долларов и утверждающих, что его невозможно обнаружить.

Кроме того, исследователи полагают, что это та же самая группа, которая стояла за аналогичной атакой, о которой впервые сообщили ранее в этом месяце исследователи из Phylum и Check Point. В то время сообщалось, что группа под названием Worok распространяла DropBoxControl, специальный инструмент для кражи информации на .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных, по крайней мере, с сентября 2022 года. 

Учитывая набор инструментов, исследователи считают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться по целевым сетям и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не наблюдали их использования кем-либо еще.

Через: Реестр


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE