Los paquetes maliciosos de Python que se hacen pasar por herramientas legítimas de ofuscación de código se dirigen a los desarrolladores a través del repositorio de código PyPI.
Centrarse en aquellos interesados en la ofuscación de códigos es una elección inteligente que podría ofrecer joyas de la corona organizacional, según investigadores de Checkmarx, que denominaron al malware "BlazeStealer".
Advirtieron el 8 de noviembre que BlazeStealer es particularmente preocupante porque puede exfiltrar datos del host, robar contraseñas, iniciar registradores de pulsaciones de teclas, cifrar archivos y ejecutar comandos del host. Se vuelve aún más peligroso gracias a la elección astuta de los objetivos, según el investigador de amenazas de Checkmarx, Yehuda Gelb.
"Los desarrolladores que se dedican a la ofuscación de código probablemente estén trabajando con información valiosa y sensible. Como resultado, los piratas informáticos los ven como objetivos valiosos a perseguir y, por lo tanto, es probable que sean las víctimas de este ataque”, explica Gelb.
BlazeStealer es lo último en una ola de paquetes Python comprometidos Los atacantes se lanzaron en 2023. En julio, los investigadores de Wiz advirtieron sobre PyLoose, un malware que consiste en un código Python que carga un minero XMRig en la memoria de una computadora mediante el proceso sin archivos memfd de Linux. En ese momento, Wiz observó casi 200 casos en los que los atacantes lo utilizaron para criptominería.
Por su parte, Checkmark ha rastreado varios paquetes maliciosos basados en Python, incluido su Septiembre de 2023 descubrimiento de una racha cultural, que ejecuta un bucle simultáneo para inmovilizar recursos del sistema para la extracción no autorizada de criptomonedas Dero.
Activando el malware BlazeStealer
La carga útil de BlazeStealer puede extraer un script malicioso de una fuente externa, dando a los atacantes un control total sobre la computadora de la víctima. Según Gelb, la carga maliciosa BlazeStealer se activa una vez instalada en el sistema comprometido.
Para comando y control, BlazeStealer ejecuta un bot transportado a través del servicio de mensajería Discord utilizando un identificador único.
"Este bot, una vez activado, proporciona al atacante control total del sistema del objetivo, permitiéndole realizar una gran cantidad de acciones dañinas en la máquina de la víctima", advierte Gelb. Además de recopilar datos detallados del host, BlazeStealer puede descargar archivos, desactivar Windows Defender y el Administrador de tareas y bloquear una computadora sobrecargando la CPU. Hace esto último ejecutando un script por lotes en el directorio de inicio para apagar la computadora, o fuerza un error BSO con un script Python.
BlazeStealer también puede tomar el control de la cámara web de una PC usando un bot que descarga sigilosamente un archivo .ZIP desde un servidor remoto e instala la aplicación gratuita WebCamImageSave.exe.
“Esto permite al robot capturar una foto en secreto usando la cámara web. La imagen resultante se envía de vuelta al canal Discord sin dejar evidencia de su presencia después de eliminar los archivos descargados”, señala Gelb.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer
