Casa > cibernético Notícias > Pacote Python malicioso [pymafka] Solta Cobalt Strike no macOS, Windows e Linux
CYBER NEWS

Pacote Python malicioso [pymafka] Solta Cobalt Strike no macOS, Windows e Linux

Pesquisadores de segurança detectaram um pacote Python malicioso “misterioso” que baixa o malware Cobalt Strike no Windows, Linux, e sistemas macOS.

Chamado de “pymafka,” o pacote se disfarça como a biblioteca popular legítima PyKafka, um cliente Kafka amigável ao programador para Python. De acordo com pesquisadores da Sonatype, o pacote malicioso foi baixado aproximadamente 300 vezes.

Pacote Python malicioso [pymafka] Solta Cobalt Strike no macOS, Windows e Linux

“No dia 17 de maio, um misterioso 'pymafka’ pacote apareceu no registro PyPI. O pacote foi logo sinalizado pelos recursos automatizados de detecção de malware da plataforma Sonatype Nexus,”Disseram os pesquisadores.

O que há dentro do pacote malicioso pymafka?

A primeira coisa a notar sobre o pacote malicioso pymafka é que ele é capaz de detectar o sistema operacional para baixar a variante de malware correta. A campanha está lançando o conhecido trojan Cobalt Strike. O malware é popular entre equipes vermelhas e hackers éticos por simular ataques cibernéticos do mundo real, Mas isso é também usado por cibercriminosos. Por exemplo, a gangue do ransomware LockBit é conhecido por usar o sinalizador Cobalt Strike para infectar suas vítimas.




Em sistemas Windows, especificamente, o pacote tenta soltar o sinalizador Cobalt Strike em 'C:\UsuáriosPúblicoiexplorer.exe', que é um erro de ortografia do processo legítimo do Internet Explorer (iexplore.exe).

“Os executáveis maliciosos que estão sendo baixados são 'win.exe’ [VirusTotal], e 'Mac OS’ [VirusTotal], com seus nomes correspondentes aos seus sistemas operacionais de destino. Ambos são baixados do endereço IP 141.164.58[.]147, encomendado pelo provedor de hospedagem na nuvem, Vultr,” o relatório adicionado.

Os referidos executáveis tentam se conectar a um endereço IP baseado na China, atribuído a Alisoft (Alibaba). Na época, os pesquisadores enviaram as amostras ao VirusTotal, menos de um terço de seus mecanismos antivírus os detectaram como maliciosos. É curioso mencionar que, no sistema operacional Windows, a carga paga pesquisou persistentemente o '/updates.rss’ endpoint e continuou enviando valores de cookies criptografados em solicitações. Esse comportamento é consistente com os sinalizadores Cobalt Strike.

Quanto aos destinos do Linux, o script Pythons malicioso tentou baixar e executar um “env” executável de outro endereço IP de propriedade do Alibaba. Todas essas descobertas foram relatadas ao registro PyPI, e o pacote foi removido logo após o relatório.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo