Casa > Ciber Noticias > Paquete malicioso de Python [pymafka] Suelta Cobalt Strike en macOS, Windows y Linux
CYBER NOTICIAS

Paquete de Python malicioso [pymafka] Suelta Cobalt Strike en macOS, Windows y Linux

Los investigadores de seguridad detectaron un paquete Python malicioso "misterioso" que descarga el malware Cobalt Strike en Windows, Linux, y sistemas macOS.

Llamado "pymafka,” el paquete se hace pasar por la biblioteca popular legítima PyKafka, un cliente de Kafka fácil de programar para Python. Según los investigadores de Sonatype, el paquete malicioso se ha descargado aproximadamente 300 veces.

Paquete de Python malicioso [pymafka] Suelta Cobalt Strike en macOS, Windows y Linux

“El 17 de mayo, un misterioso 'pymafka’ el paquete apareció en el registro de PyPI. El paquete fue marcado en breve por las capacidades de detección automática de malware de la plataforma Sonatype Nexus.,”Dijeron los investigadores.

Qué hay dentro del paquete pymafka malicioso?

Lo primero que debe tener en cuenta sobre el paquete malicioso pymafka es que es capaz de detectar el sistema operativo para descargar la variante de malware correcta.. La campaña lanza el conocido troyano Cobalt Strike. El malware es popular entre los equipos rojos y los hackers éticos por simular ciberataques en el mundo real., pero es también utilizado por los ciberdelincuentes. Por ejemplo, la banda de ransomware LockBit se sabe que usa la baliza Cobalt Strike para infectar a sus víctimas.




En sistemas Windows, específicamente, el paquete intenta dejar caer la baliza Cobalt Strike en 'C:\UsuariosPúblicoiexplorer.exe', que es un error ortográfico del proceso legítimo de Internet Explorer (iexplore.exe).

“Los ejecutables maliciosos que se descargan son 'win.exe’ [VirusTotal], y 'Mac OS’ [VirusTotal], con sus nombres correspondientes a sus sistemas operativos de destino. Ambos se descargan desde la dirección IP. 141.164.58[.]147, encargado por el proveedor de alojamiento en la nube, vultr," el informe agregado.

Dichos ejecutables intentan conectarse a una dirección IP con sede en China, asignado a Alisoft (Alibaba). En ese momento, los investigadores enviaron las muestras a VirusTotal, menos de un tercio de sus motores antivirus los detectaron como maliciosos. Es curioso mencionar que, en el sistema operativo Windows, la carga útil encuestó persistentemente el '/updates.rss’ punto final y continuó enviando valores de cookies encriptados en solicitudes. Este comportamiento es consistente con las balizas Cobalt Strike.

En cuanto a los objetivos de Linux, el script malicioso Pythons intentó descargar y ejecutar un “env” ejecutable desde otra dirección IP propiedad de Alibaba. Todos estos descubrimientos fueron reportados al registro PyPI, y el paquete se eliminó poco después del informe.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo