• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Эксперты обнаружили продвинутый троян-инфостилер в одном из пакетов PyPI

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Python, загруженный в репозиторий PyPI, содержит полнофункциональный похититель информации и троян удаленного доступа.

Пакет под названием «colourfool» был идентифицирован компанией Kroll. Специалисты присвоили ему внутреннее название «Colour-Blind» и добавили, что исходный код вредоноса запросто может быть использован для создания новых вариантов зловредного ПО.

Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.

Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.

«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.
Использование туннелей Cloudflare напоминает другую кампанию, раскрытую специалистами Phylum в прошлом месяце. В ней использовались шесть мошеннических пакетов для распространения вредоносного ПО, получившего название PoweRAT.

«Между вредоносными программами есть большое сходство в том, что они оба используют Flask и Cloudflare», — заявил исследователь Kroll. «Однако, в то время как вредоносное ПО, исследованное Phylum, полагается на PowerShell для большей части своей ключевой функциональности, Colour-Blind почти полностью написан на Python».
Троянец многофункционален и способен собирать пароли, закрывать приложения, делать снимки экрана, регистрировать нажатия клавиш, открывать произвольные веб-страницы в браузере, выполнять команды, захватывать данные криптокошелька и даже следить за жертвами через веб-камеру.

В прошлом месяце мы не раз писали о вредоносных пакетах в репозитории PyPI. Например, 5 пакетов, обнаруженных в конце января, содержали инфостилер W4SP Stealer. А ещё около 40 пакетов, загруженных в середине февраля, имели в своём составе прочее вредоносное ПО для кражи информации.
 
Сверху