6 Pacotes Maliciosos do PyPi Instalando Malware RAT via Túnel Cloudflare

Uma equipe de pesquisadores da empresa de segurança Phylum descobriu seis pacotes maliciosos no Índice de Pacotes Python, que foram encontrados instalando malware de roubo de informações e trojans de acesso remoto enquanto usavam o Cloudflare para contornar restrições de firewall para acesso remoto.

De acordo com os pesquisadores da Phylum, essas extensões maliciosas foram encontradas pela primeira vez no repositório de Pacotes em 22 de dezembro e os atacantes continuaram a fazer upload de outros pacotes até o último dia de 2022.

Esses pacotes maliciosos tentam roubar dados sensíveis do usuário, que são armazenados no navegador, em seguida, executam comandos de shell e keyloggers para roubar dados secretos digitados, ou seja, senhas, logins, carteiras de criptomoedas, etc.

Esta é a lista dos seis pacotes maliciosos que os pesquisadores da Phylum descobriram.

• discord-dev

• style.py

• discorder

• pythonstyles

• easytimestamp

• pyrologin

Agora, todos esses seis pacotes maliciosos foram removidos do Índice de Pacotes Python, e se os usuários já baixaram esses pacotes, então os usuários precisarão desinstalar os restos das infecções manualmente.

Setup.py, o instalador, possui strings codificadas em 64 bits que decodificam para um script Powershell, e então o setup define o ErrorAction.SlientlyContinue para que o script possa continuar mesmo se encontrar um erro para evitar ser identificado pelos desenvolvedores.

Depois disso, o script Powershell baixa um arquivo ZIP de um recurso remoto, descompacta-o em um diretório temporário local e, em seguida, instala uma variedade de dependências e pacotes Python, garantindo que o acesso remoto e a captura de tela sejam possíveis.

Além disso, há mais dois pacotes Python que são instalados silenciosamente no meio das fases ‘flask’ e ‘flask cloudflared’.

Bem, um dos arquivos no servidor Zip.pyw então inicia quatro threads – a primeira para estabelecer persistência entre as reinicializações do sistema. A segunda é para fazer um ping para o site onion e iniciar um logger de teclas e, finalmente, roubar informações do computador infectado.

Bem, os dados que são roubados contêm senhas, logins, carteiras de criptomoedas, cookies do navegador, dados do Telegram, tokens e mais. Todas essas informações são então enviadas através do transfer[.]st para os atacantes enquanto um ping para os sites onion confirma a execução da ação de roubo de informações.

Quando tudo isso é feito, agora o script executa um cftunnel.py que também está armazenado no arquivo Zip que é usado para instalar um cliente de túnel Cloudflare no computador da vítima.

Para aqueles que não sabem, o túnel Cloudflare é um serviço que permite que os usuários criem um túnel bidirecional de um servidor para a infraestrutura Cloudflare.

Bem, isso permite que os servidores web se tornem instantaneamente disponíveis publicamente através do Cloudflare sem configurar firewalls, abrir portas ou outros problemas de roteamento. Os atacantes usam esse túnel para acessar remotamente um trojan remoto que está sendo executado na máquina comprometida como um script ‘Flask’, mesmo que o dispositivo esteja protegido pelo firewall.

Os atacantes usam um aplicativo “flask”, que também é conhecido como .rat para roubar o nome de usuário e o endereço IP, executar comandos de shell na máquina comprometida, exfiltrar certos diretórios de arquivos, executar código python e baixar ou iniciar mais cargas.

Além disso, o trojan de acesso remoto suporta um feed de desktop ao vivo que começa a uma taxa de um quadro por segundo, que é ativado assim que a vítima digita algo ou move o mouse.

Infelizmente, remover todos os arquivos do Índice de Pacotes Python ou banir a conta que os enviou não ajuda muito, pois os atores de ameaça podem retornar novamente, desta vez com novos nomes.

Portanto, caso você esteja infectado com esses pacotes python maliciosos, é recomendado escanear seu computador e também alterar todas as senhas dos sites que você acessa ou visita regularmente!

Leia: Atacantes Copiando Sites de Software Legítimos para Espalhar Malware via Plataforma de Anúncios do Google