Botaa3 Malware

Botaa3 Malware Descrizione

Un altro pacchetto minaccioso è stato scoperto nel repository Python Package Index (PyPI). Prima di essere eliminata, la minaccia era riuscita a raccogliere circa 130 download. Il pacchetto è stato chiamato "botaa3" in un misero tentativo di imitare il nome "boto3", il popolarissimo kit di sviluppo software (SDK) di Amazon Web Services (AWS) per Python.

Gli esperti di sicurezza informatica hanno analizzato il codice della minaccia e ne hanno scoperto le capacità nefaste. Il pacchetto botaa3, seimplementato con successo, fornirebbe agli aggressori la capacità di eseguire codice arbitrario sul sistema violato, assumendone effettivamente il controllo.

Dettagli tecnici

Il pacchetto botaa3 presentava diversi livelli di offuscamento utilizzando la codifica base64 e la crittografia XOR bit per bit. Inoltre, contiene anche l'intero codice del pacchetto boto3 legittimo. In effetti, la minaccia installa boto3 come parte delle sue azioni, nel tentativo di evitare ulteriormente di sollevare sospetti. Sepolto nel codice c'è anche un "KillDate" impostato il 17 novembre 2020. Dopo questa data, il pacchetto botaa3 non sarà più operativo.

Capacità minacciose

Una delle prime azioni intraprese dal malware è controllare con il suo server Command-and-Control (C2, C&C). Durante questo passaggio, botaa3 estrae varie informazioni prese dal sistema della vittima. I dati includono l'indirizzo IP, i dettagli del sistema operativo e dell'architettura, le credenziali dell'account, il nome host, il nome di dominio completo (nome di dominio completo) e altro.

Successivamente, botaa3 attenderà i comandi in arrivo. Gli autori delle minacce sono in grado di raccogliere file o scaricarne di aggiuntivi, manipolare il file system (eliminare file e cartelle), aprire shell inverse, caricare moduli e script Python aggiuntivi, ecc. Gli aggressori possono anche indicare al malware di interrompere le sue attività e dormiente.

Dopo essere stato informato della presenza della minaccia botaa3, il team di sicurezza di PyPI è intervenuto quasi immediatamente e ha rimosso il pacchetto minaccioso.