"BlazeStealer" Python-haittaohjelma mahdollistaa kehittäjälaitteiden täydellisen haltuunoton

Haitalliset Python-paketit, jotka naamioituvat laillisiksi koodin hämärtämistyökaluiksi, kohdistuvat kehittäjiin PyPI-koodivaraston kautta.

Keskittyminen koodin hämärtämisestä kiinnostuneisiin on älykäs valinta, joka voi tarjota organisaation kruununjalokiviä, Checkmarxin tutkijoiden mukaan, jotka kutsuivat haittaohjelmaa "BlazeStealer".

He varoittivat 8. marraskuuta, että BlazeStealer on erityisen huolestuttava, koska se voi suodattaa isäntätietoja, varastaa salasanoja, käynnistää keyloggereita, salata tiedostoja ja suorittaa isäntäkomentoja. Checkmarxin uhkatutkijan Yehuda Gelbin mukaan siitä tulee entistä vaarallisempi kohteiden tarkan valinnan ansiosta.

"Kehittäjät, jotka harjoittavat koodin hämärtämistä, tekevät todennäköisesti yhteistyötä arvokasta ja arkaluonteista tietoa. Tämän seurauksena hakkerit näkevät heidät arvokkaina kohteina, joita tavoitella, ja siksi he ovat todennäköisesti tämän hyökkäyksen uhreja”, Gelb selittää.

BlazeStealer on uusin vaarantuneiden Python-pakettien aalto Hyökkääjät ovat julkaisseet vuonna 2023. Heinäkuussa Wizin tutkijat varoittivat PyLoosesta, Python-koodista koostuvasta haittaohjelmasta, joka lataa XMRig-kaivosohjelman tietokoneen muistiin käyttämällä memfd Linuxin tiedostotonta prosessia. Wiz havaitsi tuolloin lähes 200 tapausta, joissa hyökkääjät käyttivät sitä kryptominointiin.

Checkmark on puolestaan ​​seurannut useita haitallisia Python-pohjaisia ​​paketteja, mukaan lukien sen Syyskuu 2023 kulttuuriputken löytö, joka suorittaa samanaikaisen silmukan sitoakseen järjestelmäresursseja luvaton Dero kryptovaluutan louhintaan.

BlazeStealer-haittaohjelman käynnistäminen

BlazeStealer-hyötykuorma voi poimia haitallisen komentosarjan ulkoisesta lähteestä, jolloin hyökkääjät voivat hallita uhrin tietokonetta täydellisesti. Gelbin mukaan haitallinen BlazeStealer-hyötykuorma aktivoituu, kun se on asennettu vaarantuneeseen järjestelmään.

BlazeStealer käyttää komentoa ja ohjausta varten Bottia, joka kulkee Discord-viestipalvelun kautta käyttämällä yksilöllistä tunnistetta.

"Tämä botti, kun se on aktivoitu, antaa hyökkääjälle tehokkaasti täydellisen hallinnan kohteen järjestelmään, jolloin hän voi suorittaa lukemattomia haitallisia toimia uhrin koneella", Gelb varoittaa. Yksityiskohtaisten isäntätietojen keräämisen lisäksi BlazeStealer voi ladata tiedostoja, poistaa käytöstä Windows Defenderin ja Task Managerin sekä lukita tietokoneen ylikuormittamalla suorittimen. Se tekee jälkimmäisen suorittamalla eräkomentosarjan käynnistyshakemistossa tietokoneen sammuttamiseksi tai pakottaa BSO-virheen Python-skriptillä.

BlazeStealer voi myös hallita tietokoneen verkkokameraa käyttämällä bottia, joka lataa salaa .ZIP-tiedoston etäpalvelimelta ja asentaa ilmaisen WebCamImageSave.exe-sovelluksen.

"Tämän avulla botti voi salaa ottaa valokuvan verkkokameran avulla. Tuloksena oleva kuva lähetetään sitten takaisin Discord-kanavalle jättämättä todisteita sen olemassaolosta ladattujen tiedostojen poistamisen jälkeen”, Gelb huomauttaa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer