Эксперты обнаружили продвинутый троян-инфостилер в одном из пакетов PyPI

[Artifact]

Вредонос, который специалисты назвали «Colour-Blind», обладает поистине обширным функционалом.

На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Python, загруженный в репозиторий PyPI, содержит полнофункциональный похититель информации и троян удаленного доступа.
Пакет под названием «colourfool» был идентифицирован компанией Kroll. Специалисты присвоили ему внутреннее название «Colour-Blind» и добавили, что исходный код вредоноса запросто может быть использован для создания новых вариантов зловредного ПО.
Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.
Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.
«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.
Использование туннелей Cloudflare напоминает другую кампанию, раскрытую специалистами Phylum в прошлом месяце. В ней использовались шесть мошеннических пакетов для распространения вредоносного ПО, получившего название PoweRAT.
«Между вредоносными программами есть большое сходство в том, что они оба используют Flask и Cloudflare», — заявил исследователь Kroll. «Однако, в то время как вредоносное ПО, исследованное Phylum, полагается на PowerShell для большей части своей ключевой функциональности, Colour-Blind почти полностью написан на Python».
Троянец многофункционален и способен собирать пароли, закрывать приложения, делать снимки экрана, регистрировать нажатия клавиш, открывать произвольные веб-страницы в браузере, выполнять команды, захватывать данные криптокошелька и даже следить за жертвами через веб-камеру.
В прошлом месяце мы не раз писали о вредоносных пакетах в репозитории PyPI. Например, 5 пакетов, обнаруженных в конце января, содержали инфостилер W4SP Stealer. А ещё около 40 пакетов, загруженных в середине февраля, имели в своём составе прочее вредоносное ПО для кражи информации.