根据Fortinet FortiGuard 实验室的最新发现,网络安全研究人员标记了两个恶意软件包,这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库,并具备从受感染主机窃取敏感信息的功能。
这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据,这些下载大部分来自美国、中国、俄罗斯和印度。
安全研究员 Jenna Wang 表示,Zebo 是“恶意软件的典型例子,具有用于监视、数据泄露和未经授权的控制的功能”,并补充说 cometlogger“还显示出恶意行为的迹象,包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。
这两个软件包中的第一个 zebo 使用混淆技术(例如十六进制编码字符串)来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。
它还包含大量用于收集数据的功能,包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹,然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。
除了窃取敏感数据外,该恶意软件还通过创建批处理脚本在机器上设置持久性,该脚本启动 Python 代码并将其添加到 Windows 启动文件夹,以便在每次重新启动时自动执行。
另一方面,Cometlogger 功能丰富,可以窃取各种信息,包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。
它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外,它还包含检查以避免在虚拟化环境中运行,并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。
Jenna Wang 说:“通过异步执行任务,该脚本可以最大限度地提高效率,在短时间内窃取大量数据。”
“虽然某些功能可能是合法工具的一部分,但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查,并避免与来自未经验证来源的脚本进行交互。”
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA
封面来源于网络,如有侵权请联系删除
