I ricercatori di sicurezza hanno rilevato un pacchetto Python dannoso "misterioso" che scarica il malware Cobalt Strike su Windows, Linux, e sistemi macOS.
Chiamato "pymafka,” il pacchetto si maschera come la legittima libreria popolare PyKafka, un client Kafka adatto ai programmatori per Python. Secondo i ricercatori Sonatype, il pacchetto dannoso è stato scaricato approssimativamente 300 volte.
![Pacchetto Python dannoso [pymafka] Rilascia Cobalt Strike su macOS, Windows e Linux](https://cdn.sensorstechforum.com/wp-content/uploads/2022/03/advanced-persistent-threat-malware-backdoor-sensorstechforum-1024x585.jpg)
“Il 17 maggio, un misterioso 'pymafka’ il pacchetto è apparso nel registro PyPI. Il pacchetto è stato a breve contrassegnato dalle capacità di rilevamento automatico del malware della piattaforma Sonatype Nexus,”I ricercatori hanno detto.
Cosa c'è dentro il pacchetto pymafka dannoso?
La prima cosa da notare sul pacchetto dannoso pymafka è che è in grado di rilevare il sistema operativo per scaricare la variante di malware corretta. La campagna sta rilasciando il famoso trojan Cobalt Strike. Il malware è popolare tra i red team e gli hacker etici per la simulazione di attacchi informatici nel mondo reale, ma è utilizzato anche dai criminali informatici. Per esempio, la banda di ransomware LockBit è noto per utilizzare il faro Cobalt Strike per infettare le sue vittime.
Su sistemi Windows, specificamente, il pacchetto tenta di far cadere il faro Cobalt Strike su 'C:\UtentiPubblicoiexplorer.exe', che è un errore di ortografia del processo legittimo di Internet Explorer (iexplore.exe).
“Gli eseguibili dannosi scaricati sono 'win.exe’ [VirusTotal], e 'MacOS’ [VirusTotal], con i loro nomi corrispondenti ai loro sistemi operativi di destinazione. Entrambi vengono scaricati dall'indirizzo IP 141.164.58[.]147, commissionato dal provider di hosting cloud, Vultr," il rapporto ha aggiunto.
I suddetti eseguibili tentano di connettersi a un indirizzo IP con sede in Cina, assegnato ad Alisoft (Alibaba). All'epoca i ricercatori hanno inviato i campioni a VirusTotal, meno di un terzo dei suoi motori antivirus li ha rilevati come dannosi. È curioso dirlo, sul sistema operativo Windows, il carico utile ha costantemente esaminato il file '/updates.rss’ endpoint e ha continuato a inviare valori di cookie crittografati nelle richieste. Questo comportamento è coerente con i beacon Cobalt Strike.
Per quanto riguarda gli obiettivi Linux, lo script Pythons dannoso ha provato a scaricare ed eseguire un file “ENV” eseguibile da un altro indirizzo IP di proprietà di Alibaba. Tutte queste scoperte sono state segnalate al registro PyPI, e il pacco è stato rimosso poco dopo la segnalazione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: