Los investigadores de seguridad detectaron un paquete Python malicioso "misterioso" que descarga el malware Cobalt Strike en Windows, Linux, y sistemas macOS.
Llamado "pymafka,” el paquete se hace pasar por la biblioteca popular legítima PyKafka, un cliente de Kafka fácil de programar para Python. Según los investigadores de Sonatype, el paquete malicioso se ha descargado aproximadamente 300 veces.
“El 17 de mayo, un misterioso 'pymafka’ el paquete apareció en el registro de PyPI. El paquete fue marcado en breve por las capacidades de detección automática de malware de la plataforma Sonatype Nexus.,”Dijeron los investigadores.
Qué hay dentro del paquete pymafka malicioso?
Lo primero que debe tener en cuenta sobre el paquete malicioso pymafka es que es capaz de detectar el sistema operativo para descargar la variante de malware correcta.. La campaña lanza el conocido troyano Cobalt Strike. El malware es popular entre los equipos rojos y los hackers éticos por simular ciberataques en el mundo real., pero es también utilizado por los ciberdelincuentes. Por ejemplo, la banda de ransomware LockBit se sabe que usa la baliza Cobalt Strike para infectar a sus víctimas.
En sistemas Windows, específicamente, el paquete intenta dejar caer la baliza Cobalt Strike en 'C:\UsuariosPúblicoiexplorer.exe', que es un error ortográfico del proceso legítimo de Internet Explorer (iexplore.exe).
“Los ejecutables maliciosos que se descargan son 'win.exe’ [VirusTotal], y 'Mac OS’ [VirusTotal], con sus nombres correspondientes a sus sistemas operativos de destino. Ambos se descargan desde la dirección IP. 141.164.58[.]147, encargado por el proveedor de alojamiento en la nube, vultr," el informe agregado.
Dichos ejecutables intentan conectarse a una dirección IP con sede en China, asignado a Alisoft (Alibaba). En ese momento, los investigadores enviaron las muestras a VirusTotal, menos de un tercio de sus motores antivirus los detectaron como maliciosos. Es curioso mencionar que, en el sistema operativo Windows, la carga útil encuestó persistentemente el '/updates.rss’ punto final y continuó enviando valores de cookies encriptados en solicitudes. Este comportamiento es consistente con las balizas Cobalt Strike.
En cuanto a los objetivos de Linux, el script malicioso Pythons intentó descargar y ejecutar un “env” ejecutable desde otra dirección IP propiedad de Alibaba. Todos estos descubrimientos fueron reportados al registro PyPI, y el paquete se eliminó poco después del informe.