botaa3 Malware

Outro pacote ameaçador foi descoberto no repositório Python Package Index (PyPI). Antes de ser removido, a ameaça conseguiu acumular cerca de 130 downloads. O pacote foi denominado 'botaa3' numa tentativa pobre de imitar o nome 'boto3,' o amplamente popular Amazon Web Services (AWS) Software Development Kit (SDK) para Python.

Os especialistas em segurança cibernética analisaram o código da ameaça e descobriram seus recursos nefastos. O pacote botaa3, seimplantado com sucesso, forneceria aos invasores a capacidade de executar código arbitrário no sistema violado, assumindo efetivamente o controle sobre ele.

Detalhes Técnicos

O pacote botaa3 apresentou vários níveis de ofuscação usando codificação base64 e criptografia XOR bit a bit. Além disso, ele também carrega todo o código do pacote boto3 legítimo. Na verdade, a ameaça instala o boto3 como parte de suas ações, na tentativa de evitar ainda mais levantar suspeitas. Enterrado no código também está um 'KillDate' definido em 17 de novembro de 2020. Após esta data, o pacote botaa3 não estará mais operacional.

Capacidades Ameaçadoras

Uma das primeiras ações executadas pelo malware é verificar com seu servidor Command-and-Control (C2, C&C). Durante esta etapa, o botaa3 exfiltra várias informações retiradas do sistema da vítima. Os dados incluem o endereço IP, OS e detalhes da arquitetura, credenciais da conta, nome do host, FQDN (Nome de Domínio Totalmente Qualificado) e muito mais.

Posteriormente, o botaa3 aguardará os comandos de entrada. Os agentes de ameaças são capazes de coletar arquivos ou baixar arquivos adicionais, manipular o sistema de arquivos (excluir arquivos e pastas), abrir shells reversos, carregar módulos e scripts Python adicionais, etc. Os invasores também podem instruir o malware a interromper suas atividades e executar dormente.

Depois de ser notificado da presença da ameaça botaa3, a equipe de segurança do PyPI agiu quase imediatamente e removeu o pacote ameaçador.