3 min Security

Twee kwaadaardige Python-pakketten onthuld door FortiGuard Labs

Twee kwaadaardige Python-pakketten onthuld door FortiGuard Labs

Een rapport van FortiGuard Labs waarschuwt voor twee nieuw ontdekte kwaadaardige Python-pakketten. Ze brengen een hoog risico met zich mee op diefstal van inloggegevens, data-exfiltratie en ongeautoriseerde systeemtoegang.

De eerste kwetsbaarheid, Zebo-0.1.0, blijkt geavanceerd malwaregedrag te vertonen, inclusief verduisteringstechnieken om de functionaliteit te verbergen. En om het voor beveiligingstools moeilijk te maken om de malware als kwaadaardig te identificeren. 

De malware omvat keylogging en ondersteuning voor het exfiltreren van gevoelige gegevens naar externe servers. Dit vormt een ernstige bedreiging voor de privacy van gebruikers en de systeemintegriteit.

Zebo-0.1.0 gebruikt bibliotheken zoals pynput voor keylogging en ImageGrab voor het maken van schermafbeeldingen. Hierdoor kan de malware elke toetsaanslag registreren en periodiek momentopnamen maken van het bureaublad van de gebruiker. Hierdoor kan men wachtwoorden, financiële informatie en andere gevoelige gegevens openbaar maken. 

De malware slaat de gegevens lokaal op voordat die via verborgen HTTP-verzoeken naar een Firebase-database worden verzonden, waardoor aanvallers zonder detectie toegang kunnen krijgen tot de gestolen informatie.

Zebo-0.1.0 maakt ook gebruik van een persistentiemechanisme om ervoor te zorgen dat de malware opnieuw wordt uitgevoerd telkens wanneer het geïnfecteerde systeem opstart. Dit gebeurt door scripts en batchbestanden te maken in de opstartmap van Windows. Ze zorgen ervoor dat het op het systeem aanwezig kan blijven zonder medeweten van de gebruiker, waardoor het moeilijk te verwijderen is en gegevensdiefstal en bewaking op de lange termijn mogelijk zijn.

Kwaadaardige functies

De tweede kwetsbaarheid, Cometlogger-0.1, wordt geleverd met een reeks kwaadaardige functies die zich richten op systeemreferenties en gebruikersgegevens. De malware injecteert tijdens runtime webhooks dynamisch in de code, zodat deze gevoelige gegevens, waaronder wachtwoorden en tokens, naar externe servers kan sturen die door de aanvallers worden beheerd.

Cometlogger-0.1 bleek ook mogelijkheden te vertonen die zijn ontworpen om detectie te omzeilen en analyse te verstoren. Eén mogelijkheid, anti-virtuele machinedetectie, controleert op tekenen van sandbox-omgevingen die vaak worden gebruikt door beveiligingsonderzoekers. Als het VM-indicatoren detecteert, stopt de uitvoering van de malware, waardoor de analyse kan worden omzeild en onopgemerkt blijft in live-omgevingen.

Accountkaping

Fortinet beschouwt beide vormen van geïdentificeerde malware als slecht. Wel zeggen de onderzoekers dat Cometlogger-0.1 naar een ander niveau gaat met de mogelijkheid om een ​​breed scala aan gebruikersgegevens te stelen. Denk daarbij aan sessiecookies, opgeslagen wachtwoorden en browsergeschiedenis. Het kan zich ook richten op gegevens van diensten zoals Discord, X en Steam. Dit opent de deur voor accountkaping en nabootsing van identiteit.

“Het script (Cometlogger-0.1) vertoont verschillende kenmerken van kwaadaardige bedoelingen, waaronder dynamische bestandsmanipulatie, webhook-injectie, informatie stelen, ANTI-VM”, merken de onderzoekers op. “Hoewel sommige functies deel kunnen uitmaken van een legitieme tool, maken het gebrek aan transparantie en verdachte functionaliteit het onveilig om deze uit te voeren.”

De onderzoekers stellen dat de beste manier om infectie te voorkomen is om altijd scripts en uitvoerbare bestanden van derden te verifiëren. Dit voordat ze worden uitgevoerd. Organisaties moeten ook firewalls en inbraakdetectiesystemen implementeren om verdachte netwerkactiviteit te identificeren. Men moet werknemers opgeleiden om phishing-pogingen te herkennen. En om te voorkomen dat niet-geverifieerde scripts worden uitgevoerd.