WhiteSnake: вредоносное ПО, способное управлять вашим компьютером через Tor

Fortinet FortiGuard Labs Fortinet PyPI Python клиппер WhiteSnake Tor JFrog Checkmarx C2
WhiteSnake: вредоносное ПО, способное управлять вашим компьютером через Tor
Fortinet FortiGuard Labs Fortinet PyPI Python клиппер WhiteSnake Tor JFrog Checkmarx C2

Почему вы должны быть осторожны при установке пакетов PyPI?

image

Команда Fortinet FortiGuard Labs обнаружила в репозитории Python Package Index (PyPI) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer.

Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены злоумышленником по имени «WS». Пакеты включают в свои файлы setup.py исходный код PE (Portable Executable) или других скриптов Python в кодировке Base64. Этот код активируется при установке пакетов на компьютерах пользователей.

На системах Windows вирус WhiteSnake Stealer крадет информацию, а на Linux-системах — запускает Python-скрипт для сбора данных. Атака в первую очередь направлена на пользователей Windows и связана с кампанией, о которой ранее сообщали JFrog и Checkmarx.

Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с сервером управления и контроля (Command and Control, C2) по протоколу Tor, а также способно красть информацию у жертвы и выполнять команды.

WhiteSnake Stealer также собирает данные из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.

Checkmarx приписывает кампанию субъекту угрозы под псевдонимом PYTA31, заявляя, что конечной целью злоумышленника является эксфильтрация конфиденциальных данных с целевых машин.

Некоторые из вредоносных пакетов включают в себя функцию клиппера, позволяющую заменять содержимое буфера обмена на адреса кошельков злоумышленников для осуществления несанкционированных транзакций. Другие пакеты нацелены на кражу данных из браузеров, приложений и криптосервисов.

Fortinet подчеркивает, что эта находка демонстрирует способность одного автора вредоносного ПО распространять множество пакетов для кражи информации в библиотеке PyPI, каждый из которых имеет свои уникальные особенности.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Конец невидимости F-22: китайские радары наступают на пятки стелс-самолетам

9.8 из 10: свыше 200 тысяч веб-сайтов под угрозой взлома из-за уязвимостей в Forminator

Apple удалила WhatsApp, Telegram и Signal из китайского App Store

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

Sophos исследовала колыбель зла в даркнете

Python-разработчики, внимание: хакеры охотятся на ваш Discord

85% рынка в руках Microsoft: как корпорация стала главной опасностью для США

Темная сторона EDR: как система защиты становится оружием хакера

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе