Botaa3 Malware

Botaa3 Malware Beskrivelse

En anden truende pakke blev opdaget på Python Package Index (PyPI) repository. Inden den blev fjernet, havde truslen nået at samle omkring 130 downloads. Pakken blev navngivet 'botaa3' i et dårligt forsøg på at efterligne navnet 'boto3', det meget populære Amazon Web Services (AWS) Software Development Kit (SDK) til Python.

Cybersikkerhedseksperter analyserede truslens kode og opdagede dens uhyggelige egenskaber. Botaa3-pakken, ifimplementeret med succes, ville give angriberne mulighed for at udføre vilkårlig kode på det brudte system og effektivt tage kontrol over det.

Tekniske detaljer

Botaa3-pakken indeholdt flere niveauer af sløring ved hjælp af base64-kodning og bitvis XOR-kryptering. Derudover bærer den også hele koden for den legitime boto3-pakke. Faktisk installerer truslen boto3 som en del af sine handlinger, i et forsøg på yderligere at undgå at rejse mistanke. Begravet i koden er også en 'KillDate' sat til den 17. november 2020. Efter denne dato vil botaa3-pakken ikke længere være operationel.

Truende egenskaber

En af de første handlinger, som malwaren tager, er at tjekke med dens Command-and-Control-server (C2, C&C). I løbet af dette trin eksfiltrerer botaa3 forskellige oplysninger taget fra ofrets system. Dataene inkluderer IP-adressen, OS og arkitekturdetaljer, kontolegitimationsoplysninger, værtsnavn, FQDN (fuldt kvalificeret domænenavn) og mere.

Bagefter vil botaa3 vente på indgående kommandoer. Trusselsaktørerne er i stand til at indsamle filer eller downloade yderligere filer, manipulere filsystemet (slet filer og mapper), åbne omvendte skaller, indlæse yderligere Python-moduler og scripts osv. Angriberne kan også instruere malwaren til at stoppe dens aktiviteter og lægge sig slumrende.

Efter at have fået besked om tilstedeværelsen af botaa3-truslen tog PyPI-sikkerhedsteamet handling næsten øjeblikkeligt og fjernede den truende pakke.