Вредонос, который специалисты назвали «Colour-Blind», обладает поистине обширным функционалом.
На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Для просмотра ссылки Войди
Пакет под названием «colourfool» Для просмотра ссылки Войди
Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.
Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.
«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.
Использование туннелей Cloudflare напоминает другую кампанию, Для просмотра ссылки Войди
«Между вредоносными программами есть большое сходство в том, что они оба используют Flask и Cloudflare», — заявил исследователь Kroll. «Однако, в то время как вредоносное ПО, исследованное Phylum, полагается на содержали инфостилер W4SP Stealer. А ещё около 40 пакетов, загруженных в середине февраля, имели в своём составе прочее вредоносное ПО для кражи информации.
- Источник новости
- www.securitylab.ru