botaa3 Malware

Ett annat hotfullt paket upptäcktes på Python Package Index (PyPI) förvaret. Innan det togs ner hade hotet lyckats samla in omkring 130 nedladdningar. Paketet fick namnet 'botaa3' i ett dåligt försök att imitera namnet 'boto3', det mycket populära Amazon Web Services (AWS) Software Development Kit (SDK) för Python.

Cybersäkerhetsexperter analyserade hotets kod och upptäckte dess skändliga kapacitet. Botaa3-paketet, ifdistribueras framgångsrikt, skulle ge angriparna möjligheten att exekvera godtycklig kod på det brutna systemet och effektivt ta kontroll över det.

Tekniska detaljer

Botaa3-paketet innehöll flera nivåer av obfuskation med base64-kodning och bitvis XOR-kryptering. Dessutom bär den också hela koden för det legitima boto3-paketet. Faktum är att hotet installerar boto3 som en del av sina handlingar, i ett försök att ytterligare undvika att väcka misstankar. Begravd i koden är också ett 'KillDate' inställt den 17 november 2020. Efter detta datum kommer botaa3-paketet inte längre att fungera.

Hotande förmågor

En av de första åtgärderna som skadlig programvara gör är att kontrollera med dess Command-and-Control-server (C2, C&C). Under detta steg exfiltrerar botaa3 olika information hämtad från offrets system. Uppgifterna inkluderar IP-adress, OS- och arkitekturdetaljer, kontouppgifter, värdnamn, FQDN (fullständigt domännamn) och mer.

Efteråt kommer botaa3 att vänta på inkommande kommandon. Hotaktörerna kan samla in filer eller ladda ner ytterligare filer, manipulera filsystemet (ta bort filer och mappar), öppna omvända skal, ladda ytterligare Python-moduler och skript, etc. Angriparna kan också instruera skadlig programvara att stoppa dess aktiviteter och lägga sig. vilande.

Efter att ha blivit underrättad om förekomsten av botaa3-hotet vidtog PyPI-säkerhetsteamet nästan omedelbart åtgärder och tog bort det hotande paketet.