Sicherheitsforscher entdeckten ein „mysteriöses“ bösartiges Python-Paket, das die Malware Cobalt Strike auf Windows herunterlädt, Linux, und macOS-Systemen.
Genannt „Pymafka,” Das Paket gibt sich als die legitime populäre Bibliothek PyKafka aus, ein programmiererfreundlicher Kafka-Client für Python. Laut Sonatype-Forschern, das bösartige Paket wurde ungefähr heruntergeladen 300 mal.
![Bösartiges Python-Paket [pymafka] Lässt Cobalt Strike auf macOS fallen, Windows und Linux](https://cdn.sensorstechforum.com/wp-content/uploads/2022/03/advanced-persistent-threat-malware-backdoor-sensorstechforum-1024x585.jpg)
„Am 17. Mai, eine mysteriöse 'pymafka’ Paket erschien in der PyPI-Registrierung. Das Paket wurde kurz darauf von den automatisierten Malware-Erkennungsfunktionen der Sonatype Nexus-Plattform markiert,“Sagten die Forscher.
Inhalt des bösartigen pymafka-Pakets?
Das allererste, was beim bösartigen Pymafka-Paket zu beachten ist, ist, dass es in der Lage ist, das Betriebssystem zu erkennen, um die richtige Malware-Variante herunterzuladen. Die Kampagne löscht den bekannten Cobalt Strike-Trojaner. Die Malware ist bei Red Teams und ethischen Hackern beliebt, um reale Cyberangriffe zu simulieren, aber es ist auch von Cyberkriminellen verwendet. Beispielsweise, die LockBit-Ransomware-Bande Es ist bekannt, dass es das Cobalt Strike-Signal verwendet, um seine Opfer zu infizieren.
Auf Windows-Systemen, speziell, das Paket versucht, das Cobalt-Strike-Funkfeuer bei 'C abzusetzen:\BenutzerÖffentlichiexplorer.exe', Dies ist ein Rechtschreibfehler des legitimen Internet Explorer-Prozesses (iexplore.exe).
„Die bösartigen ausführbaren Dateien, die heruntergeladen werden, sind ‚win.exe’ [Virustotal], und 'MacOS’ [Virustotal], mit ihren Namen, die ihren Zielbetriebssystemen entsprechen. Beide werden von der IP-Adresse heruntergeladen 141.164.58[.]147, im Auftrag des Cloud-Hosting-Anbieters, Vultr," der Bericht hinzugefügt.
Die genannten ausführbaren Dateien versuchen, eine Verbindung zu einer in China ansässigen IP-Adresse herzustellen, Alisoft zugeordnet (Alibaba). Damals reichten die Forscher die Proben bei VirusTotal ein, weniger als ein Drittel seiner Antiviren-Engines erkannte sie als bösartig. Es ist merkwürdig, das zu erwähnen, auf dem Windows-Betriebssystem, die Nutzlast durchsuchte ständig die '/updates.rss’ Endpunkt und weiterhin verschlüsselte Cookie-Werte in Anfragen senden. Dieses Verhalten stimmt mit Cobalt-Strike-Beacons überein.
Wie für Linux-Ziele, Das bösartige Pythons-Skript hat versucht, eine herunterzuladen und auszuführen “env” ausführbar von einer anderen Alibaba-eigenen IP-Adresse. Alle diese Entdeckungen wurden der PyPI-Registrierung gemeldet, und das Paket wurde kurz nach der Meldung entfernt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: