Пользователи жертвуют своими данными, пользуясь советами других людей.
Злоумышленники нашли новый способ распространения вредоносного ПО через Stack Overflow – отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi-пакет, который заражает компьютеры и похищает конфиденциальную информацию.
Sonatype https://www.sonatype.com/blog/pypi-c...lware-campaignновый вредоносный PyPi-пакет, связанный с уже известной кампанией «Cool package». Кампания, начавшаяся в прошлом году, нацелена на пользователей Windows и использует пакет под названием «pytoileur».
Пакет был загружен злоумышленниками на репозиторий PyPi под видом инструмента для управления API. Примечательно, что у пакета есть подпись «Cool package», указывающая, что он является частью текущей кампании.
https://www.securitylab.ru/upload/me...py4eigt4c7.png
Вредоносный пакет PyToileur
Киберпреступники используют метод Typosquatting, давая вредоносным пакетам имена, похожие на популярные названия, чтобы обмануть пользователей. На этот раз атакующие пошли дальше, начав продвигать свой пакет через ответы на вопросы пользователей Stack Overflow, представляя пакет как решение для различных проблем.
https://www.securitylab.ru/upload/me...czeml48yib.png
Ответ пользователя EstAYA G на проблему, продвигающий вредоносный пакет
Stack Overflow является одной из крупнейших платформ для программистов, что делает её идеальной средой для распространения вредоносных программ, замаскированных под полезные инструменты и библиотеки.
В пакете «pytoileur» содержится файл «setup.py», который скрывает команду, зашифрованную в base64, с помощью добавления пробелов, что делает её незаметной, если не включить перенос слов в текстовом редакторе.
https://www.securitylab.ru/upload/me...2g9e79cuj5.png
Запутанная команда для выполнения в setup.py
После деобфускации команда скачивает и выполняет исполняемый файл «runtime.exe» с удаленного сайта. Файл на самом деле является Python-программой, преобразованной в «.exe», и выполняет функции стилера.
Вредоносное ПО собирает куки, пароли, историю браузера, данные кредитных карт и другие сведения из веб-браузеров, а также ищет в документах специфические фразы и при их обнаружении также крадет данные. Вся собранная информация отправляется обратно злоумышленникам, которые могут продавать её в даркнете или использовать для дальнейшего взлома аккаунтов жертв.
Хотя вредоносные пакеты и инфостилеры не являются чем-то новым, данная стратегия киберпреступников, выдающих себя за участников на Stack Overflow, заслуживает особого внимания. Такой метод позволяет использовать доверие и авторитет платформы в сообществе разработчиков.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign</pre>