Botaa3 Malware

Botaa3 Malware

Een ander bedreigend pakket werd ontdekt in de Python Package Index (PyPI)-repository. Voordat het werd verwijderd, was de dreiging erin geslaagd om ongeveer 130 downloads te verzamelen. Het pakket kreeg de naam 'botaa3' in een slechte poging om de naam 'boto3' te imiteren, de alom populaire Amazon Web Services (AWS) Software Development Kit (SDK) voor Python.

Cybersecurity-experts analyseerden de code van de dreiging en ontdekten de snode mogelijkheden ervan. Het botaa3-pakket, alssuccesvol ingezet, zou de aanvallers de mogelijkheid bieden om willekeurige code uit te voeren op het geschonden systeem, waardoor het effectief de controle over het systeem overneemt.

Technische details

Het botaa3-pakket bevatte verschillende niveaus van verduistering met behulp van base64-codering en bitsgewijze XOR-codering. Bovendien bevat het ook de volledige code van het legitieme boto3-pakket. In feite installeert de dreiging boto3 als onderdeel van zijn acties, in een poging om verder geen verdenking te wekken. In de code is ook een 'KillDate'-set op 17 november 2020 begraven. Na deze datum is het botaa3-pakket niet langer operationeel.

Dreigende mogelijkheden

Een van de eerste acties die door de malware worden ondernomen, is het controleren met zijn Command-and-Control (C2, C&C)-server. Tijdens deze stap exfiltreert botaa3 verschillende informatie uit het systeem van het slachtoffer. De gegevens omvatten het IP-adres, OS- en architectuurdetails, accountreferenties, hostnaam, FQDN (volledig gekwalificeerde domeinnaam) en meer.

Daarna wacht botaa3 op binnenkomende opdrachten. De aanvallers kunnen bestanden verzamelen of extra downloaden, het bestandssysteem manipuleren (bestanden en mappen verwijderen), reverse shells openen, extra Python-modules en scripts laden, enz. De aanvallers kunnen de malware ook opdracht geven om zijn activiteiten te stoppen en slaperig.

Na op de hoogte te zijn gesteld van de aanwezigheid van de botaa3-dreiging, heeft het PyPI-beveiligingsteam vrijwel onmiddellijk actie ondernomen en het bedreigende pakket verwijderd.

Trending

Bezig met laden...