Новости Эксперты обнаружили продвинутый троян-инфостилер в одном из пакетов PyPI

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022

Вредонос, который специалисты назвали «Colour-Blind», обладает поистине обширным функционалом.​


kuh3k2mjohgds6z1yfxqcyawrlhw9d03.jpg


На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Для просмотра ссылки Войди или Зарегистрируйся , загруженный в репозиторий PyPI, содержит полнофункциональный похититель информации и троян удаленного доступа.

Пакет под названием «colourfool» Для просмотра ссылки Войди или Зарегистрируйся компанией Для просмотра ссылки Войди или Зарегистрируйся . Специалисты присвоили ему внутреннее название «Colour-Blind» и добавили, что исходный код вредоноса запросто может быть использован для создания новых вариантов зловредного ПО.

Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.

Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.

«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.

Использование туннелей Cloudflare напоминает другую кампанию, Для просмотра ссылки Войди или Зарегистрируйся специалистами Для просмотра ссылки Войди или Зарегистрируйся в прошлом месяце. В ней использовались шесть мошеннических пакетов для распространения вредоносного ПО, получившего название PoweRAT.

«Между вредоносными программами есть большое сходство в том, что они оба используют Flask и Cloudflare», — заявил исследователь Kroll. «Однако, в то время как вредоносное ПО, исследованное Phylum, полагается на содержали инфостилер W4SP Stealer. А ещё около 40 пакетов, загруженных в середине февраля, имели в своём составе прочее вредоносное ПО для кражи информации.
 
Источник новости
www.securitylab.ru

Похожие темы