Pesquisadores de segurança detectaram um pacote Python malicioso “misterioso” que baixa o malware Cobalt Strike no Windows, Linux, e sistemas macOS.
Chamado de “pymafka,” o pacote se disfarça como a biblioteca popular legítima PyKafka, um cliente Kafka amigável ao programador para Python. De acordo com pesquisadores da Sonatype, o pacote malicioso foi baixado aproximadamente 300 vezes.
“No dia 17 de maio, um misterioso 'pymafka’ pacote apareceu no registro PyPI. O pacote foi logo sinalizado pelos recursos automatizados de detecção de malware da plataforma Sonatype Nexus,”Disseram os pesquisadores.
O que há dentro do pacote malicioso pymafka?
A primeira coisa a notar sobre o pacote malicioso pymafka é que ele é capaz de detectar o sistema operacional para baixar a variante de malware correta. A campanha está lançando o conhecido trojan Cobalt Strike. O malware é popular entre equipes vermelhas e hackers éticos por simular ataques cibernéticos do mundo real, Mas isso é também usado por cibercriminosos. Por exemplo, a gangue do ransomware LockBit é conhecido por usar o sinalizador Cobalt Strike para infectar suas vítimas.
Em sistemas Windows, especificamente, o pacote tenta soltar o sinalizador Cobalt Strike em 'C:\UsuáriosPúblicoiexplorer.exe', que é um erro de ortografia do processo legítimo do Internet Explorer (iexplore.exe).
“Os executáveis maliciosos que estão sendo baixados são 'win.exe’ [VirusTotal], e 'Mac OS’ [VirusTotal], com seus nomes correspondentes aos seus sistemas operacionais de destino. Ambos são baixados do endereço IP 141.164.58[.]147, encomendado pelo provedor de hospedagem na nuvem, Vultr,” o relatório adicionado.
Os referidos executáveis tentam se conectar a um endereço IP baseado na China, atribuído a Alisoft (Alibaba). Na época, os pesquisadores enviaram as amostras ao VirusTotal, menos de um terço de seus mecanismos antivírus os detectaram como maliciosos. É curioso mencionar que, no sistema operacional Windows, a carga paga pesquisou persistentemente o '/updates.rss’ endpoint e continuou enviando valores de cookies criptografados em solicitações. Esse comportamento é consistente com os sinalizadores Cobalt Strike.
Quanto aos destinos do Linux, o script Pythons malicioso tentou baixar e executar um “env” executável de outro endereço IP de propriedade do Alibaba. Todas essas descobertas foram relatadas ao registro PyPI, e o pacote foi removido logo após o relatório.