Botaa3 Зловреден софтуер

Botaa3 Зловреден софтуер Описание

Друг заплашителен пакет беше открит в хранилището на Python Package Index (PyPI). Преди да бъде премахната, заплахата успя да натрупа около 130 изтегляния. Пакетът беше наречен „botaa3“ в лош опит да се имитира името „boto3“, широко популярния комплект за разработка на софтуер (SDK) на Amazon Web Services (AWS) за Python.

Експертите по киберсигурност анализираха кода на заплахата и откриха злобните й възможности. Пакетът botaa3, акоразгърнат успешно, ще предостави на нападателите възможността да изпълнят произволен код върху нарушената система, като ефективно поемат контрола над нея.

Технически подробности

Пакетът botaa3 включваше няколко нива на обфускация, използвайки base64-кодиране и побитово XOR криптиране. В допълнение, той също така носи целия код на легитимния пакет boto3. Всъщност заплахата инсталира boto3 като част от своите действия, в опит да избегне допълнително пораждане на подозрение. В кода е заровен и „KillDate“, зададен на 17 ноември 2020 г. След тази дата пакетът botaa3 вече няма да работи.

Застрашаващи способности

Едно от първите действия, предприети от зловредния софтуер, е да провери с неговия сървър за командване и управление (C2, C&C). По време на тази стъпка botaa3 ексфилтрира различна информация, взета от системата на жертвата. Данните включват IP адрес, подробности за ОС и архитектура, идентификационни данни за акаунт, име на хост, FQDN (пълно квалифицирано име на домейн) и др.

След това botaa3 ще чака входящи команди. Заплахите могат да събират файлове или да изтеглят допълнителни, да манипулират файловата система (изтриват файлове и папки), да отварят обратни обвивки, да зареждат допълнителни модули и скриптове на Python и т.н. спящ.

След като беше уведомен за наличието на заплахата botaa3, екипът по сигурността на PyPI предприе действия почти незабавно и премахна заплашителния пакет.