Hakerzy budujący złośliwe oprogramowanie Python są coraz lepsi, a ich ładunek trudniejszy do wykrycia — twierdzą badacze.
Analizując niedawno wykryty złośliwy ładunek, grupa badaczy JFrog poinformowała, jak napastnicy wykorzystali nową technikę — kod antydebugujący — aby utrudnić badaczom analizę ładunku i zrozumienie logiki stojącej za kodem. Oprócz “zwykłych” narzędzi i technik maskowania, hakerzy stojący za pakietem “cookiezlog” wykorzystali kod antydebugujący jako sposób na udaremnienie narzędzi analizy dynamicznej. Według JFrog, jest to pierwszy raz, gdy taka metoda została zauważona w jakimkolwiek złośliwym oprogramowaniu PyPI.
“Większość złośliwego oprogramowania PyPI próbuje dziś uniknąć statycznego wykrywania przy użyciu różnych technik: począwszy od prymitywnego manipulowania zmiennymi po wyrafinowane techniki spłaszczania kodu i steganografii” – wyjaśniają badacze we wpisie na blogu.
“Użycie tych technik czyni pakiet niezwykle podejrzanym, ale uniemożliwia początkującym badaczom zrozumienie dokładnego działania złośliwego oprogramowania przy użyciu narzędzi analizy statycznej. Jednak – każde narzędzie analizy dynamicznej, takie jak piaskownica malware, szybko usuwa statyczne warstwy ochronne malware i ujawnia logikę leżącą u jego podstaw.”
Wysiłki hakerów wydają się daremne, ponieważ badacze JFrog zdołali obejść zabezpieczenia i zajrzeć prosto do ładunku. Po przeprowadzeniu analizy, badacze opisali program płatny jako “rozczarowująco prosty” w porównaniu do wysiłku włożonego w jego ukrycie. Jednak nadal jest on szkodliwy, ponieważ cookiezlog jest narzędziem do wykradania haseł “autouzupełniania” zapisanych w pamięci podręcznej popularnych przeglądarek. Zebrane dane wywiadowcze są następnie wysyłane do napastników za pośrednictwem haka Discord, który działa jako serwer command & control.
Niestety, JFrog nie ujawniło nazwy grupy stojącej za złośliwym oprogramowaniem, ani technik dystrybucji użytych do umieszczenia password grabbera na punktach końcowych ofiar. Niezależnie od tego, informacje o złośliwym oprogramowaniu PyPI są coraz częstsze, co sugeruje, że deweloperzy Pythona stali się głównym celem ataku.
