Новости WhiteSnake: вредоносное ПО, способное управлять вашим компьютером через Tor

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Почему вы должны быть осторожны при установке пакетов PyPI?


8qpbkgc76sdvyvbxuyop65uespoyrlgr.jpg


Команда Fortinet FortiGuard Labs Для просмотра ссылки Войди или Зарегистрируйся в репозитории Python Package Index ( PyPI ) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer.

Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены злоумышленником по имени «WS». Пакеты включают в свои файлы setup.py исходный код PE (Portable Executable) или других скриптов Python в кодировке Base64. Этот код активируется при установке пакетов на компьютерах пользователей.

На системах Windows вирус WhiteSnake Stealer крадет информацию, а на Linux-системах — запускает Python-скрипт для сбора данных. Атака в первую очередь направлена на пользователей Windows и связана с кампанией, о которой Для просмотра ссылки Войди или Зарегистрируйся сообщали JFrog и Checkmarx .

Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с сервером управления и контроля (Command and Control, C2 ) по протоколу Tor , а также способно красть информацию у жертвы и выполнять команды.

WhiteSnake Stealer также собирает данные из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.

Checkmarx Для просмотра ссылки Войди или Зарегистрируйся субъекту угрозы под псевдонимом PYTA31, заявляя, что конечной целью злоумышленника является эксфильтрация конфиденциальных данных с целевых машин.

Некоторые из вредоносных пакетов включают в себя функцию клиппера , позволяющую заменять содержимое буфера обмена на адреса кошельков злоумышленников для осуществления несанкционированных транзакций. Другие пакеты нацелены на кражу данных из браузеров, приложений и криптосервисов.

Fortinet подчеркивает, что эта находка демонстрирует способность одного автора вредоносного ПО распространять множество пакетов для кражи информации в библиотеке PyPI, каждый из которых имеет свои уникальные особенности.
 
Источник новости
www.securitylab.ru

Похожие темы