Зловмисне програмне забезпечення Python «BlazeStealer» дозволяє повністю заволодіти машинами розробників

Шкідливі пакети Python, які маскуються під законні інструменти обфускації коду, націлені на розробників через сховище коду PyPI.

За словами дослідників Checkmarx, які назвали зловмисне програмне забезпечення «BlazeStealer», зосередження уваги на тих, хто зацікавлений у обфускації коду, — це мудрий вибір, який може запропонувати коштовність організаційної корони.

8 листопада вони попередили, що BlazeStealer викликає особливе занепокоєння, оскільки він може викрадати дані хоста, викрадати паролі, запускати кейлоггери, шифрувати файли та виконувати команди хоста. За словами дослідника загроз Checkmarx Єгуди Ґелба, це стає ще небезпечнішим завдяки вмілому вибору цілей.

«Розробники, які займаються обфускацією коду, ймовірно, працюють з цінну та конфіденційну інформацію. Як наслідок, хакери бачать у них цінні цілі для переслідування, а отже, ймовірно, стануть жертвами цієї атаки», — пояснює Гелб.

BlazeStealer є останнім у хвиля скомпрометованих пакетів Python зловмисники випустили в 2023 році. У липні дослідники Wiz попередили про PyLoose, зловмисне програмне забезпечення, що складається з коду Python, яке завантажує майнер XMRig у пам’ять комп’ютера за допомогою безфайлового процесу memfd Linux. У той час Wiz спостерігав майже 200 випадків, коли зловмисники використовували його для криптомайнінгу.

Зі свого боку, Checkmark відстежує різні шкідливі пакети на основі Python, включаючи його Відкриття Culturestreak у вересні 2023 року, який запускає паралельний цикл, щоб зв’язати системні ресурси для несанкціонованого майнінгу криптовалюти Dero.

Запуск шкідливого програмного забезпечення BlazeStealer

Корисне навантаження BlazeStealer може отримати шкідливий сценарій із зовнішнього джерела, надаючи зловмисникам повний контроль над комп’ютером жертви. За словами Гелба, зловмисне корисне навантаження BlazeStealer активується, як тільки воно встановлено в скомпрометованій системі.

Для командування та керування BlazeStealer запускає бота, який передається через службу обміну повідомленнями Discord, використовуючи унікальний ідентифікатор.

«Після активації цей бот фактично надає зловмиснику повний контроль над цільовою системою, дозволяючи йому виконувати безліч шкідливих дій на машині жертви», — попереджає Гелб. Окрім збору детальних даних про хост, BlazeStealer може завантажувати файли, деактивувати Windows Defender і диспетчер завдань, а також блокувати комп’ютер через перевантаження ЦП. Останнє виконується шляхом запуску пакетного сценарію в каталозі запуску, щоб вимкнути комп’ютер, або викликає помилку BSO за допомогою сценарію Python.

BlazeStealer також може керувати веб-камерою ПК за допомогою бота, який непомітно завантажує файл .ZIP із віддаленого сервера та встановлює безкоштовну програму WebCamImageSave.exe.

«Це дозволяє боту таємно робити фото за допомогою веб-камери. Отримане зображення потім надсилається назад на канал Discord, не залишаючи жодних доказів своєї присутності після видалення завантажених файлів», – зазначає Гелб.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer