Хитроумные методы маскировки позволяют киберзлодеям совершить задуманное, минуя ИБ-радары.
Специалисты по кибербезопасности из компании Fortinet выявили новый вредоносный пакет в реестре для разработчиков PyPI, нацеленный на кражу данных пользователей Discord. Пакет под названием «discordpy_bypass-1.7» был опубликован 10 марта 2024 года и обнаружен через два дня.
Пакет, разработанный пользователем под ником «Theaos», включает в себя семь версий с похожими характеристиками. Его основная цель — извлечение конфиденциальной информации с помощью техник установления постоянства в системе жертвы, извлечения данных из браузеров и сбора токенов.
В ходе технического анализа было установлено, что пакет использует многоуровневые меры уклонения, включая кодирование базового кода Python с помощью base64, дополнительные методы обфускации и компиляцию в исполняемый файл, который загружается с удалённого URL.
Кроме того, злоумышленники также внедрили ряд проверок, позволяющих вредоносной программе определять запуск в песочнице и прерывать свою работу. К тому же, программа способна идентифицировать и блокировать IP- и MAC-адреса, занесённые в чёрные списки.
Особое внимание вредоносный код уделяет авторизационным данным Discord, извлекая из браузеров пароли, cookie-файлы и историю веб-поиска. Перед отправкой на удалённый сервер, извлечённые токены дешифруются и проверяются.
Эксперты лаборатории FortiGuard подчёркивают, что этот инцидент в очередной раз доказывает необходимость бдительности и усиленной защиты систем для обеспечения безопасности личных данных. В то время как сведения о подобных угрозах позволяют исследователям разрабатывать более защищённые системы, способные противостоять новым видам кибератак.
5778 К? Пф! У нас градус знаний зашкаливает!