A „BlazeStealer” Python malware lehetővé teszi a fejlesztői gépek teljes átvételét

A törvényes kódzavaró eszközöknek álcázott rosszindulatú Python-csomagok a PyPI kódtáron keresztül célozzák meg a fejlesztőket.

A Checkmarx kutatói szerint, akik a rosszindulatú programot „BlazeStealer”-nek nevezték el, a kódzavarás iránt érdeklődőkre való összpontosítás egy hozzáértő választás, amely szervezeti koronaékszert jelenthet.

November 8-án figyelmeztettek arra, hogy a BlazeStealer különösen aggasztó, mert képes kiszűrni a gazdagépadatokat, ellopni a jelszavakat, elindítani a keyloggereket, titkosítani a fájlokat és végrehajtani a gazdagépparancsokat. Yehuda Gelb, a Checkmarx fenyegetéskutatója szerint ez még veszélyesebbé válik a célpontok körültekintő megválasztásának köszönhetően.

„Valószínűleg együttműködnek azokkal a fejlesztőkkel, akik részt vesznek a kódzavarásban értékes és érzékeny információkat. Ennek eredményeként a hackerek értékes célpontnak tekintik őket, és ezért valószínűleg ők lesznek a támadás áldozatai” – magyarázza Gelb.

A BlazeStealer a legújabb kompromittált Python-csomagok hulláma Júliusban a Wiz kutatói figyelmeztettek a PyLoose-ra, a Python kódból álló rosszindulatú programra, amely XMRig bányászt tölt be a számítógép memóriájába a memfd Linux fájl nélküli folyamat segítségével. Abban az időben a Wiz közel 2023 olyan esetet figyelt meg, amikor a támadók kriptominálásra használták.

A Checkmark a maga részéről számos rosszindulatú Python-alapú csomagot követett nyomon, beleértve a saját 2023 szeptemberében felfedezték a kulturális sorozatot, amely egy párhuzamos hurkot futtat, hogy lekösse a rendszer erőforrásait a jogosulatlan Dero kriptovaluta bányászathoz.

A BlazeStealer rosszindulatú szoftverek felgyújtása

A BlazeStealer rakomány képes kivonni egy rosszindulatú szkriptet egy külső forrásból, így a támadók teljes irányítást biztosítanak az áldozat számítógépe felett. Gelb szerint a rosszindulatú BlazeStealer rakomány akkor aktiválódik, amikor telepítették a feltört rendszerre.

A BlazeStealer a vezérléshez a Discord üzenetküldő szolgáltatáson keresztül egyedi azonosítót használó botot futtat.

"Ez a bot, miután aktiválták, hatékonyan biztosítja a támadó számára a célpont rendszerének teljes irányítását, lehetővé téve számukra, hogy számtalan káros műveletet hajtsanak végre az áldozat gépén" - figyelmeztet Gelb. A részletes gazdagépadatok gyűjtése mellett a BlazeStealer fájlokat tölthet le, deaktiválhatja a Windows Defender-t és a Feladatkezelőt, és lezárhatja a számítógépet a CPU túlterhelésével. Ez utóbbit úgy teszi meg, hogy egy kötegelt parancsfájlt futtat az indítási könyvtárban a számítógép leállításához, vagy egy Python-szkripttel BSO-hibát kényszerít ki.

A BlazeStealer a PC webkamerája felett is átveheti az irányítást egy bot segítségével, amely lopva letölt egy .ZIP fájlt egy távoli szerverről, és telepíti a WebCamImageSave.exe ingyenes alkalmazást.

„Ez lehetővé teszi a bot számára, hogy titokban fotót készítsen a webkamera segítségével. Az eredményül kapott kép ezután visszakerül a Discord csatornára anélkül, hogy a letöltött fájlok törlése után nyoma maradna jelenlétének” – jegyzi meg Gelb.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer