Botaa3 Malware

En anden truende pakke blev opdaget på Python Package Index (PyPI) repository. Inden den blev fjernet, havde truslen nået at samle omkring 130 downloads. Pakken blev navngivet 'botaa3' i et dårligt forsøg på at efterligne navnet 'boto3', det meget populære Amazon Web Services (AWS) Software Development Kit (SDK) til Python.

Cybersikkerhedseksperter analyserede truslens kode og opdagede dens uhyggelige egenskaber. Botaa3-pakken, ifimplementeret med succes, ville give angriberne mulighed for at udføre vilkårlig kode på det brudte system og effektivt tage kontrol over det.

Tekniske detaljer

Botaa3-pakken indeholdt flere niveauer af sløring ved hjælp af base64-kodning og bitvis XOR-kryptering. Derudover bærer den også hele koden for den legitime boto3-pakke. Faktisk installerer truslen boto3 som en del af sine handlinger, i et forsøg på yderligere at undgå at rejse mistanke. Begravet i koden er også en 'KillDate' sat til den 17. november 2020. Efter denne dato vil botaa3-pakken ikke længere være operationel.

Truende egenskaber

En af de første handlinger, som malwaren tager, er at tjekke med dens Command-and-Control-server (C2, C&C). I løbet af dette trin eksfiltrerer botaa3 forskellige oplysninger taget fra ofrets system. Dataene inkluderer IP-adressen, OS og arkitekturdetaljer, kontolegitimationsoplysninger, værtsnavn, FQDN (fuldt kvalificeret domænenavn) og mere.

Bagefter vil botaa3 vente på indgående kommandoer. Trusselsaktørerne er i stand til at indsamle filer eller downloade yderligere filer, manipulere filsystemet (slet filer og mapper), åbne omvendte skaller, indlæse yderligere Python-moduler og scripts osv. Angriberne kan også instruere malwaren til at stoppe dens aktiviteter og lægge sig slumrende.

Efter at have fået besked om tilstedeværelsen af botaa3-truslen tog PyPI-sikkerhedsteamet handling næsten øjeblikkeligt og fjernede den truende pakke.