Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el repositorio de Python Package Index (PYPI) que están diseñados para proporcionar un troyano de acceso remoto llamado Silentsync en los sistemas de Windows.
«Silentsync le permite ejecutar comandos remotos, eliminar archivos y captura de pantalla», dijo Manisha Ramcharan Prajapati y Satyam Singh de Zscaler Amenazlabz. «Silentsync también extrae datos del navegador web como credenciales, historia, datos de enfoque automático y cookies de navegadores web como Chrome, Brave, Edge y Firefox».
Los paquetes que ya no están disponibles para descargar desde PYPI se enumeran a continuación. Ambos fueron cargados por un usuario llamado «CondetGapis».
Sisaws (201 descargas) segundos (627 descargas)
ZSCALER dijo que el paquete Sisaws imita el comportamiento del paquete legítimo de Python SISA relacionado con el Sistema Nacional de Información de Salud Argentina, Sistema Integrado de Información Anitaria Argentino (SISA).
Sin embargo, lo que existe en la biblioteca es una función llamada «gen_token ()» del script de inicialización (__init__.py) que actúa como el descargador de malware de la próxima etapa. Para lograr esto, enviamos una token codificada como entrada y recibimos un token estático secundario como respuesta de una manera similar a una API SISA legítima.
«Cuando un desarrollador importa un paquete Sisaws y llama a la función Gen_Token, el código decodifica un comando HEX que revela el comando CURL, que se utiliza para recuperar scripts de Python adicionales». «El script de Python obtenido de Paspebin se escribe en FileName Helper.py en un directorio temporal y se ejecuta».
SecMeashing de manera similar pretende ser una «biblioteca para limpiar cadenas y aplicar medidas de seguridad», pero tiene una característica integrada para soltar ratas Silentsync.
Silentsync tiene como objetivo principalmente infectar a los sistemas de Windows en esta etapa, pero el malware también viene con funciones incorporadas para Linux y MacOS, que cambia el registro en Windows, cambia el archivo CRONTAB Linux para ejecutar la carga útil de inicio del sistema y registra el agente de lanzadores de macOS.
El paquete se basa en la presencia de un token secundario para enviar una solicitud HTTP GET a un punto final de codificación duro (200.58.107 (.) 25 «) para recibir el código de Python que se ejecuta directamente en la memoria. El servidor admite 4 puntos finales diferentes –
Para verificar /verificar, conectividad /comando /comando, comando ejecutar /respompesta, enviar mensaje de estado /archivo, enviar la salida del comando o los datos robados
El malware le permite cosechar datos del navegador, ejecutar comandos de shell, capturar capturas de pantalla y robar archivos. También puede eliminar archivos y directorios completos en forma de un archivo zip. Una vez que se envían los datos, todos los artefactos se eliminan del host hasta el esfuerzo de detección de pasos laterales.
«Descubrir los paquetes PYPI maliciosos Sisaws y Secmeasure resaltan el mayor riesgo de ataques de la cadena de suministro dentro de los repositorios de software público», dijo Zscaler. «Al aprovechar el escenario de tipo, hacerse pasar por un paquete legítimo, los actores de amenaza pueden acceder a información de identificación personal (PII)».
Source link
