Το κακόβουλο λογισμικό Python "BlazeStealer" επιτρέπει την πλήρη εξαγορά μηχανών προγραμματιστών

Κακόβουλα πακέτα Python που μεταμφιέζονται ως νόμιμα εργαλεία συσκότισης κώδικα στοχεύουν προγραμματιστές μέσω του αποθετηρίου κώδικα PyPI.

Η εστίαση σε όσους ενδιαφέρονται για τη συσκότιση κώδικα είναι μια έξυπνη επιλογή που θα μπορούσε να προσφέρει κορυφαία κοσμήματα οργάνωσης, σύμφωνα με ερευνητές στο Checkmarx, που ονόμασαν το κακόβουλο λογισμικό "BlazeStealer".

Προειδοποίησαν στις 8 Νοεμβρίου ότι το BlazeStealer είναι ιδιαίτερα ανησυχητικό επειδή μπορεί να διεισδύσει δεδομένα κεντρικού υπολογιστή, να κλέψει κωδικούς πρόσβασης, να εκκινήσει keyloggers, να κρυπτογραφήσει αρχεία και να εκτελέσει εντολές κεντρικού υπολογιστή. Γίνεται ακόμη πιο επικίνδυνο χάρη στην έξυπνη επιλογή στόχων, σύμφωνα με τον ερευνητή απειλών του Checkmarx, Yehuda Gelb.

«Οι προγραμματιστές που εμπλέκονται σε συσκότιση κώδικα πιθανότατα συνεργάζονται πολύτιμες και ευαίσθητες πληροφορίες. Ως αποτέλεσμα, οι χάκερ τα βλέπουν ως πολύτιμους στόχους που πρέπει να επιδιώξουν και ως εκ τούτου είναι πιθανό να είναι τα θύματα που στοχοποιούνται σε αυτήν την επίθεση», εξηγεί ο Gelb.

Το BlazeStealer είναι το πιο πρόσφατο ένα κύμα παραβιασμένων πακέτων Python Οι εισβολείς κυκλοφόρησαν το 2023. Τον Ιούλιο, οι ερευνητές του Wiz προειδοποίησαν για το PyLoose, κακόβουλο λογισμικό που αποτελείται από κώδικα Python που φορτώνει ένα XMRig miner στη μνήμη ενός υπολογιστή χρησιμοποιώντας τη διαδικασία memfd Linux χωρίς αρχείο. Εκείνη την εποχή, η Wiz παρατήρησε σχεδόν 200 περιπτώσεις στις οποίες οι εισβολείς το χρησιμοποίησαν για κρυπτοεξόρυξη.

Από την πλευρά του, το Checkmark έχει παρακολουθήσει διάφορα κακόβουλα πακέτα που βασίζονται σε Python, συμπεριλαμβανομένου του Σεπτέμβριος 2023, ανακάλυψη πολιτισμού, το οποίο εκτελεί έναν ταυτόχρονο βρόχο για τη σύνδεση των πόρων του συστήματος για μη εξουσιοδοτημένη εξόρυξη κρυπτονομισμάτων Dero.

Ενεργοποίηση κακόβουλου λογισμικού BlazeStealer

Το ωφέλιμο φορτίο BlazeStealer μπορεί να εξαγάγει ένα κακόβουλο σενάριο από μια εξωτερική πηγή, δίνοντας στους εισβολείς πλήρη έλεγχο του υπολογιστή του θύματος. Σύμφωνα με τον Gelb, το κακόβουλο ωφέλιμο φορτίο BlazeStealer ενεργοποιείται μόλις εγκατασταθεί στο παραβιασμένο σύστημα.

Για εντολή και έλεγχο, το BlazeStealer εκτελεί ένα bot που μεταφέρεται μέσω της υπηρεσίας ανταλλαγής μηνυμάτων Discord χρησιμοποιώντας ένα μοναδικό αναγνωριστικό.

"Αυτό το bot, μόλις ενεργοποιηθεί, παρέχει αποτελεσματικά στον εισβολέα τον πλήρη έλεγχο του συστήματος του στόχου, επιτρέποντάς του να εκτελέσει μια μυριάδα επιβλαβών ενεργειών στο μηχάνημα του θύματος", προειδοποιεί ο Gelb. Εκτός από τη συλλογή λεπτομερών δεδομένων κεντρικού υπολογιστή, το BlazeStealer μπορεί να κατεβάσει αρχεία, να απενεργοποιήσει το Windows Defender και το Task Manager και να κλειδώσει έναν υπολογιστή υπερφορτώνοντας τη CPU. Κάνει το τελευταίο εκτελώντας ένα σενάριο δέσμης στον κατάλογο εκκίνησης για να τερματίσει τη λειτουργία του υπολογιστή ή εξαναγκάζει ένα σφάλμα BSO με ένα σενάριο Python.

Το BlazeStealer μπορεί επίσης να αναλάβει τον έλεγχο της κάμερας web ενός υπολογιστή χρησιμοποιώντας ένα bot που κατεβάζει κρυφά ένα αρχείο .ZIP από έναν απομακρυσμένο διακομιστή και εγκαθιστά τη δωρεάν εφαρμογή WebCamImageSave.exe.

«Αυτό επιτρέπει στο bot να τραβήξει κρυφά μια φωτογραφία χρησιμοποιώντας την κάμερα web. Η εικόνα που προκύπτει αποστέλλεται στη συνέχεια πίσω στο κανάλι Discord χωρίς να αφήνει κανένα στοιχείο της παρουσίας της μετά τη διαγραφή των ληφθέντων αρχείων», σημειώνει ο Gelb.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer