PrevedMedved 👋 — это снова Lumma Stealer
В середине ноября группа киберразведки PT ESC зафиксировала кампанию по распространению вредоносного программного обеспечения Lumma Stealer и NetSupport RAT. В качестве источника заражения использовался GitHub-репозиторий, доступный по адресу
Вредоносный контент находился в разделе tag, в то время как основная ветка репозитория была удалена. Учетная запись GitHub, используемая для размещения материалов, зарегистрирована под именем
🧤 В ходе анализа репозитория было замечено, что размещенные приманки и вредоносные файлы регулярно заменяются новыми (скриншот 5). Средняя частота обновления составляет около одной недели. Злоумышленники делают упор на использование фишинговых файлов-ловушек, мимикрирующих под документы различных организаций.
Первым к нам в руки попал LNK-файл
🫡 В процессе изучения атаки выявлены и другие схемы, где вместо фишингового документа рассылался, например, файл, замаскированный под повестку в военкомат (скриншот 2). LNK-файл
Примечательно, что автором всех документов-приманок в метаданных указана Галлямова Римма Абдулнуровна. Это может быть попыткой отвлечь внимание или дополнительной частью фишинговой стратегии.
Согласно данным VirusTotal, семплы Lumma Stealer определяются как вредоносные лишь тремя антивирусными решениями. Этот факт свидетельствует о высоком уровне обфускации и уникальности вредоносного ПО — большинству систем защиты трудно его обнаружить.
Атаки проводились на протяжении всего ноября. Злоумышленники активно обновляют свои инструменты, в том числе вредоносные файлы и приманки, а мы продолжаем мониторинг. Подобная схема распространения ВПО уже была описана ранее, но не затрагивала пользователей из стран СНГ.
IoCs:
#TI #Phishing #Malware #IOC
@ptescalator
В середине ноября группа киберразведки PT ESC зафиксировала кампанию по распространению вредоносного программного обеспечения Lumma Stealer и NetSupport RAT. В качестве источника заражения использовался GitHub-репозиторий, доступный по адресу
github.com/NonaDoc/Nonadoc/releases/tag/defi_prive. Вредоносный контент находился в разделе tag, в то время как основная ветка репозитория была удалена. Учетная запись GitHub, используемая для размещения материалов, зарегистрирована под именем
prevedmedved6724993 и связана с почтовым адресом vbhbvhdsbfvshdfbv@proton.me.Первым к нам в руки попал LNK-файл
Anketa_energosale.docx.lnk (скриншот 1), хранящийся на сайте energosale34.download. После запуска файл устанавливает Lumma Stealer из вышеупомянутого GitHub-репозитория и NetSupport RAT с С2-сервера злоумышленника для закрепления на устройстве жертвы. Фишинговый документ Anketa_energosale.docx (скриншот 3), якобы связанный с организацией «Волгоградэнергосбыт», был доступен для загрузки из того же репозитория.povestka_378478112.pdf.lnk хранился на узле 80.78.27.201, а сопутствующие файлы, включая вредоносное ПО и приманки, также размещались в GitHub-репозитории.Примечательно, что автором всех документов-приманок в метаданных указана Галлямова Римма Абдулнуровна. Это может быть попыткой отвлечь внимание или дополнительной частью фишинговой стратегии.
Согласно данным VirusTotal, семплы Lumma Stealer определяются как вредоносные лишь тремя антивирусными решениями. Этот факт свидетельствует о высоком уровне обфускации и уникальности вредоносного ПО — большинству систем защиты трудно его обнаружить.
Атаки проводились на протяжении всего ноября. Злоумышленники активно обновляют свои инструменты, в том числе вредоносные файлы и приманки, а мы продолжаем мониторинг. Подобная схема распространения ВПО уже была описана ранее, но не затрагивала пользователей из стран СНГ.
IoCs:
LNK-файл:
90301696accc600a3fc2a1419d0c73566a19f42424d2da6e6f215a83ba3895e6
68d0373fc7fcd74d7379f8175a894194ac285f98810359a7f48978ef15f5283e
96bd372f8a4e39e0e6e629994a2b284432c9e5a0a48e1f46100a0a6b0ce349bd
989dd914ccbd2df2a36f0500d0bdac9e286cdf39d53ab72d18f11bc726a692e8
Lumma Stealer:
26be491b59e98932bf12985cd6a24d5a0be33ee92767b19b41fe2917deb96f79
8762d87be2998ca50229e9b51a2a7700bbb1fd75b99864d05b4d630a5e091014
b0d738f7003d5bb5d7c5d0dc9441e45367fad635cbf505f129df48f8155e38a2
61e985cf63a414c5db76d1f57d9801e6d7dba106e8a8dc73ad29b53044c3c68f
NetSupport RAT:
860393e31788499f8774be83c65bcf29658cc77bf96ee2f4c86b065aedbf77de
176f7e61d26c33df91425f063c6494d6cd63f4de2654de3d72158a272bb03ae5
Файлы:
Anketa_energosale.docx.lnk
povestka_378478112.pdf.lnk
Anketa_energosale.docx.lnk
520a7afb8367e14661b412c65b9a805d.virus
Anketa_energosale[1]
poqexec.exe
Povestka_34.png
Anketa1
anketa_miner[1]
Домены:
energosale34.download
yiars.com
thisbusylife.com
abxweb.com
pdfbypari.com
kokachi.com
kokachi334.com
URL:
https://github.com/NonaDoc/Nonadoc/releases/tag/defi_prive
IP-адреса:
94.232.43.219
80.78.27.201
80.78.24.5
Метаданные:
dc:creator: «Галлямова Римма Абдулнуровна»
Эл. почта:
vbhbvhdsbfvshdfbv@proton.me
#TI #Phishing #Malware #IOC
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤8👏4👍3
Делать опрос, который мы обещали на прошлой неделе, в день лентяя
Anonymous Poll
19%
Лень
42%
Мне лень отвечать
38%
🦥
❤7☃4🍾3🎄2
Mount Point — pt.1 🙂
Любое расследование — это анализ артефактов операционной системы. А чтобы их получить, зачастую приходится работать с образами виртуальных машин, типа
В большинстве случаев монтирование, а потом и исследование подобных данных не представляет сложностей. Но если образ по каким-то причинам не обрабатывается популярными утилитами (FTK Imager, Arsenal Image Mounter), имеет особенности конфигурации или если вам необходимо провести какие-либо специфические процедуры, монтирование образа в виртуальную среду может оказаться непростым.
В этом и нескольких будущих постах мы дадим небольшие гайды по разрешению типовых ситуаций. Stay connected!
Case 1. Монтирование отдельных разделов из образа (все действия легко осуществимы в любом стандартном дистрибутиве ОС Linux и подсистеме WSL, если каких-то пакетов на системе нет, они без проблем устанавливаются стандартными средствами).
🐾 Шаг 1. Преобразуем имеющийся образ в формат RAW. Это наиболее универсальный формат, не содержащий никаких дополнительных данных, не имеющий сжатий и максимально поддерживаемый любыми утилитами. Образ может представлять собой один файл или несколько (например, если разные каталоги Linux разнесены на несколько виртуальных дисков). Рекомендуем использовать утилиту qemu-img:
Это наиболее универсальный способ, поддерживающий большинство форматов виртуальных дисков (
🐾 Шаг 2. Изучаем параметры полученного образа:
И видим подобную запись:
По идентификатору раздела (их можно посмотреть здесь) определяем нужный (в примере —
🐾 Шаг 3. Монтируем:
💡 Полезные заметки:
1. Для команды mount используйте опцию
2. При работе с образами Windows используйте опцию
Все! В каталоге точки монтирования видим содержимое интересующего нас раздела.
В следующем посте рассмотрим монтирование LVM-дисков и поделимся полезным скриптом. Stay tuned!
#tip #dfir
@ptescalator
Любое расследование — это анализ артефактов операционной системы. А чтобы их получить, зачастую приходится работать с образами виртуальных машин, типа
VMDK, VDI, qcow и других. В большинстве случаев монтирование, а потом и исследование подобных данных не представляет сложностей. Но если образ по каким-то причинам не обрабатывается популярными утилитами (FTK Imager, Arsenal Image Mounter), имеет особенности конфигурации или если вам необходимо провести какие-либо специфические процедуры, монтирование образа в виртуальную среду может оказаться непростым.
В этом и нескольких будущих постах мы дадим небольшие гайды по разрешению типовых ситуаций. Stay connected!
Case 1. Монтирование отдельных разделов из образа (все действия легко осуществимы в любом стандартном дистрибутиве ОС Linux и подсистеме WSL, если каких-то пакетов на системе нет, они без проблем устанавливаются стандартными средствами).
🐾 Шаг 1. Преобразуем имеющийся образ в формат RAW. Это наиболее универсальный формат, не содержащий никаких дополнительных данных, не имеющий сжатий и максимально поддерживаемый любыми утилитами. Образ может представлять собой один файл или несколько (например, если разные каталоги Linux разнесены на несколько виртуальных дисков). Рекомендуем использовать утилиту qemu-img:
qemu-img convert -f #Исходный формат -O #Целевой формат #Файл-источник #Файл-получатель
Это наиболее универсальный способ, поддерживающий большинство форматов виртуальных дисков (
VMDK, VDI, qcow и другие), а также позволяющий собрать образ из нескольких файлов. Кроме того, можно использовать вендорские утилиты, входящие в стандартные дистрибутивы, например:VirtualBox: VBoxManage.exe internalcommands converttoraw
VMware: vmware-vdiskmanager -r ./source-image.vmdk -t 2 ./destination-image.raw
🐾 Шаг 2. Изучаем параметры полученного образа:
fdisk -l ./#путь к файлу
И видим подобную запись:
Sector size (logical/physical): 512 bytes / 512 bytes
./vm-disk-0.raw1 : start= 2048, size= 207618048, type=83
./vm-disk-0.raw2 : start= 207620096, size= 2095104, type=82
По идентификатору раздела (их можно посмотреть здесь) определяем нужный (в примере —
Type 83 Linux Partition) и считаем параметры смещения и размер диска:512 (размер сектора) × 2048 (номер первого сектора) = 1 048 576 (смещение в байтах)512 (размер сектора) × 207 618 048 (количество секторов) = 106 300 440 576 (размер раздела в байтах)🐾 Шаг 3. Монтируем:
mount -o ro,loop,offset=1048576,sizelimit=106300440576 source /mountpoint
1. Для команды mount используйте опцию
ro (read-only), чтобы случайно ничего не изменить в исследуемом образе.2. При работе с образами Windows используйте опцию
show_sys_files для отображения скрытых системных файлов ($MFT, $LogFile, $J и т. п.) и streams_interface=windows — для поддержки работы с альтернативными потоками. Все! В каталоге точки монтирования видим содержимое интересующего нас раздела.
В следующем посте рассмотрим монтирование LVM-дисков и поделимся полезным скриптом. Stay tuned!
#tip #dfir
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍16⚡6❤1💯1
Время корпоративов — время поговорить о напитках. Какой больше всего близок к цифровому миру? 🍸
ЧРЕЗМЕРНОЕ УПОТРЕБЛЕНИЕ АЛКОГОЛЯ И МАЛВАРИ ВРЕДЯТ ВАШЕМУ ЗДОРОВЬЮ
ЧРЕЗМЕРНОЕ УПОТРЕБЛЕНИЕ АЛКОГОЛЯ И МАЛВАРИ ВРЕДЯТ ВАШЕМУ ЗДОРОВЬЮ
Anonymous Poll
25%
Кофе — бодрит, как быстрая оперативка с крутым процессором ☕️
8%
Энергетик — взрыв энергии, как сервер в пиковой нагрузке 🔋
4%
Текила — яркий удар, словно внезапный баг в коде 🧂
13%
Виски — стабильный, как системы, проверенные временем 🥃
6%
Водка — прозрачная и универсальная, как идеальный API 🪟
2%
Мохито — свежий, как новый, интуитивный интерфейс 😆
5%
Ром — насыщенный, как данные из глубокой аналитики 🫠
12%
Пиво — легкое, но затягивает, как социальные сети 🍺 🍺
4%
Шампанское — яркое, как запуск нового стартапа 🍾
20%
Омывайка — доступна, как пиратский софт, но есть нюансы 🏴☠️
😁18👀5❤4👏2👍1
Forwarded from Positive Technologies
К экспертам PT ESC IR (отдела реагирования на угрозы) обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. К счастью, злоумышленники не успели закрепиться в ИТ-инфраструктуре и нанести значительный ущерб, остановить их удалось на этапе разведки.
Расследование инцидента показало, что за этой атакой, как и за другими похожими, стоит группировка Cloud Atlas, действующая с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна, за которой наши специалисты наблюдают с октября 2024 года, нацелена в основном на госорганы России и Беларуси.
«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2-сервера использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами», — рассказал Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC.
💡 Раньше в качестве приманок группировка использовала файлы Microsoft Word с текстами на геополитические темы, а в новых атаках документы содержали официальные запросы на предоставление информации. Последние на момент проведения кампании не отслеживались средствами антивирусной защиты.
В потоки таблиц этих файлов была вшита ссылка на вредоносный шаблон, который посредством эксплуатации уязвимости в редакторе формул Microsoft Equation запускал скрипты, выполнявшие команды C2-сервера. В результате на устройства жертв доставлялись инструменты для дальнейшего развития атаки, в частности бэкдор PowerShower, который группировка уже использовала ранее для шпионажа и кражи данных.
👀 Подробнее читайте на нашем сайте.
#PTESC
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👏6🔥4👾4
🥸 Может ли Сталин управлять твоим компьютером? Наверное, нет. Но
Недавно нам попался на глаза вредоносный powershell-скрипт, который был ласково назван автором как "
В качестве командного сервера бэкдора используется Telegram.
Логика его работы простая:
1️⃣ При запуске отправляем сведения о системе (внешний IP-адрес, данные об операционной системе, имя пользователя).
2️⃣ Проверяем, не появились ли новые команды в телеграм-чате, которые затем исполняются.
Функций у бэкдора настолько много, что помимо привычного сбора сведений о системе и выполнения команд, он позволяет управлять проигрыванием медиа: ставить на паузу, переключать на следующий или предыдущий трек, прибавлять или убавлять звук. Всего PowerStalin поддерживает 33 различные команды.
Этот образец не детектится статически и больше похож на некую учебную разработку, но подобные скриптовые бэкдоры охотно используются и APT-группировками, как, например, QuakMyAgent от GOFFEE и PowerShower от Cloud Atlas. А прочитать про то, как выявлять нелегитимный телеграм-трафик, можно здесь.
IoCs:
#TI #malware #ioc
@ptescalator
PowerStalin точно — да. Недавно нам попался на глаза вредоносный powershell-скрипт, который был ласково назван автором как "
stalin.ps1". Не секрет, что poweshell-скрипты часто используются авторами малвари как некий вспомогательный инструмент для доставки и запуска финальной полезной нагрузки. Гораздо реже можно столкнуться с полнофункциональным powershell-бэкдором, каким и является наш сегодняшний гость. В качестве командного сервера бэкдора используется Telegram.
Логика его работы простая:
1️⃣ При запуске отправляем сведения о системе (внешний IP-адрес, данные об операционной системе, имя пользователя).
2️⃣ Проверяем, не появились ли новые команды в телеграм-чате, которые затем исполняются.
Функций у бэкдора настолько много, что помимо привычного сбора сведений о системе и выполнения команд, он позволяет управлять проигрыванием медиа: ставить на паузу, переключать на следующий или предыдущий трек, прибавлять или убавлять звук. Всего PowerStalin поддерживает 33 различные команды.
PowerStalin оставляет следы в файловой системе: журналы выполнения хранятся в файле %USERPROFILE%\TelegramPCControl.log, скриншоты — в %TEMP%\screenshot.png. Этот образец не детектится статически и больше похож на некую учебную разработку, но подобные скриптовые бэкдоры охотно используются и APT-группировками, как, например, QuakMyAgent от GOFFEE и PowerShower от Cloud Atlas. А прочитать про то, как выявлять нелегитимный телеграм-трафик, можно здесь.
IoCs:
b86d4dcce63e118c328f32ece114fb0afa5b5517f18541bea47c390adb4dc828
1c0e40e79017dcc7e576451ceffa70a7ef2cf654a4cf411b2a450a0f2ac95be8
4c36999ff4e8f813f490967dfc500ac449a11752c8890d29d26d6165d1fecc9c
#TI #malware #ioc
@ptescalator
🔥20👏6👍5
Мобильный телефон — это переносной компьютер, однако в большинстве случаев извлечь данные, необходимые для проведения расследования, посредством простого подключения телефона к компьютеру не получится. Это связано с тем, что производители мобильных устройств принимают меры для ограничения доступа к важным артефактам.
• Elcomsoft iOS Forensic Toolkit очень качественно извлекает данные из различных устройств компании Apple (iPhone, iPad, iPod Touch, Apple TV, Apple Watch и HomePod).
• Passware Kit Mobile позволяет перебирать пароли, извлекать данные из заблокированных, зашифрованных iOS-, Android-устройств.
• РС-3000 Mobile PRO извлекает информацию из зашифрованных, поврежденных мобильных устройств, перебирает пароли, восстанавливает поврежденные файловые системы.
• «Мобильный криминалист Эксперт+» — универсальный инструмент для извлечения данных из iOS-, Android-устройств, облачных сервисов.
• GrayKey позволяет извлекать данные из зашифрованных, запароленных iOS-, Android-устройств последних моделей.
• UFED — хороший универсальный инструмент для извлечения данных как из смартфонов, так и из кнопочных телефонов.
• MOBILedit, MD-NEXT, XRY, SmartPhone Forensic System Professional, iPhone and Android Phone Forensics System — универсальные, достаточно интересные продукты со своими уникальными возможностями.
• iTunes
• Samsung Kies
• Huawei HiSuite
• Mi PC Suite
И от сторонних разработчиков: например, для устройств Apple — iMazing.
• Mobile Verification Toolkit — для извлечения из устройств под управлением Android и iOS;
• iOS Device Data Extractor, Libimobiledevice, Universal Forensic Apple Device Extractor — для извлечения из устройств компании Apple.
• Kanade — для извлечения APK-файлов приложений на базе Android.
• Andriller CE (Community Edition), Android Triage — для извлечения из устройств под управлением Android.
Для использования всех возможностей перечисленного ПО необходимо подключить исследуемый телефон к компьютеру. Для этого пригодятся интерфейсные кабели:
• общего назначения (Type-C, Lightning, Micro USB, OTG-кабели с различными разъемами);
• специализированные (для включения различных режимов): например, для мобильных телефонов Huawei используется кабель Harmony TP для перевода устройства в режим последовательного порта (COM port).
• паяльный фен (сепаратор для дисплеев);
• паяльная станция;
• программатор (например, Z3X EASY JTAG Plus).
При выборе инструментов для извлечения информации всегда необходимо отталкиваться от того, какие конкретно задачи стоят перед исследователем, какие для решения этих задач необходимо получить артефакты, и с учетом этого выбирать инструментарий для извлечения данных.
#dfir #mobile #android #ios
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21🔥15🆒6❤4🤯3👏2
Forwarded from SecAtor
Разработчики Suricata сообщают выпуске версии 7.0.8 своей IDS/IPS-системы с исправлениями пяти уязвимостей, две из которых, CVE-2024-55627 и CVE-2024-55605, относятся к категории критических.
Две другие, CVE-2024-55628 и CVE-2024-55629 отнесены к высокоуровневым проблемам, и оставшаяся CVE-2024-55626 - к низкому.
Обнаружение проблем приписывается следующим исследователям: Алексей Симаков, Ной Лю, Роман Ежов (Positive Technologies), Саша Стейнбисс, Симен Либекк, Team Superflat, Земетри Камимидзу, Oss-Fuzz, Coverity.
Подробностей пока мало, будем следить.
Две другие, CVE-2024-55628 и CVE-2024-55629 отнесены к высокоуровневым проблемам, и оставшаяся CVE-2024-55626 - к низкому.
Обнаружение проблем приписывается следующим исследователям: Алексей Симаков, Ной Лю, Роман Ежов (Positive Technologies), Саша Стейнбисс, Симен Либекк, Team Superflat, Земетри Камимидзу, Oss-Fuzz, Coverity.
Подробностей пока мало, будем следить.
Suricata
Suricata 7.0.8 released
We are pleased to announce the release of Suricata 7.0.8. This is a security release, fixing a number of important issues. Get the release here: 7.0.8: https://www.openinfosecfoundation.org/download/suricata-7.0.8.tar.gz Notable Changes Various security…
🔥23❤3👍3
Forwarded from PT SWARM
🇻🇳 At the Positive Hack Talks in Hanoi, our blue team member naumovax shared valuable insights:
1️⃣ Architecture of an automation tool for detecting malware in the network
2️⃣ Key features you should add to your tool
3️⃣ Our refined Suricata rules
Link 👉 https://static.ptsecurity.com/events/stratocaster-how-we-automated-the-routine-search-for-unknown-malware-in-the-network-traffic.pdf
Link to our Suricata rules: https://rules.ptsecurity.com/
1️⃣ Architecture of an automation tool for detecting malware in the network
2️⃣ Key features you should add to your tool
3️⃣ Our refined Suricata rules
Link 👉 https://static.ptsecurity.com/events/stratocaster-how-we-automated-the-routine-search-for-unknown-malware-in-the-network-traffic.pdf
Link to our Suricata rules: https://rules.ptsecurity.com/
❤16⚡7❤🔥6👎4👍1
Чем можно украсить елку? 🎄
Anonymous Poll
17%
Стикерами с паролями 👍
3%
Сертификатом на проведение одного расследования 🫥
7%
Скринами переписки с Fake-боссами 🚬
4%
Сенсорами EDR на ветках 🎄
16%
IOCами 🎩
4%
Шнуром питания для сервера 🔌
5%
Снежинками, вырезанными из распечатанных фишинговых писем 📩
11%
Гирляндой из матрицы MITRE ATT&CK 💡
11%
Фолзами 😎
21%
Бейджами с различных ИБ-конференций 🎄
🎄17😁6🍾5👻1
Первые шаги на хакерском поприще 🐱
Опенсорс — интересная среда для наблюдений за развитием проектов. Занятно изучать реализацию первых версий популярных библиотек наподобие
Интересно наблюдать и за людьми, которые вместо использования популярных стилеров и RAT пробуют себя в написании собственных решений.
1️⃣ Пользователь SpaceyLad создал цепочку из двух пакетов:
🟢
🟢
В первом пакете во всех версиях, кроме 0.0.5, скачивается безобидный файл с расширением
Из занятного — в релизах проектов оставлены папки🐈
2️⃣ В июле-августе 2024 года существовал пакет
Первые версии пакета выглядят безобидными (скриншот 4 — для версий 0.0.1–0.0.3), затем появляются первые подсказки по вредоносной функциональности (скриншот 5 — версии 0.0.4–0.0.9). Начиная с версии 0.1.0 появляется логика замены файла ресурсов для криптокошелька Exodus (скриншот 6), а с версии 0.1.4 злоумышленник учится прикладывать бинарные файлы в релиз.
Автор на протяжении 19 релизов наращивает функциональность, постепенно превращая proof of concept с абсолютными путями (привет, юзер с именем
Сам подменяемый
Простой способ защититься от такого рода напастей — использовать изолированное от пользовательских файлов окружение, например Docker-контейнеры. Это может не спасти конечных пользователей, но разработчики будут в определенной степени защищены от типовых атак. Кроме того, можно посмотреть в сторону PyAnalysis😍
Желаем в наступающем новом году оставаться в безопасности от проделок злоумышленников🎂
#ti #pypi #pyanalysis #scs
@ptescalator
Опенсорс — интересная среда для наблюдений за развитием проектов. Занятно изучать реализацию первых версий популярных библиотек наподобие
boto3, scikit-learn, requests (концепт-план версии 0.2.0 — вполне креативный).Интересно наблюдать и за людьми, которые вместо использования популярных стилеров и RAT пробуют себя в написании собственных решений.
1️⃣ Пользователь SpaceyLad создал цепочку из двух пакетов:
not-so-evil-package-spaceylad, код которого представлен на скриншотах 1 (оригинальная версия) и 2 (после автоматической деобфускации). Этот пакет отвечает за хранение строки с командой для скачивания нагрузки.not-evil-calculator-spaceylad, который непосредственно запустит команду, — скриншот 3.В первом пакете во всех версиях, кроме 0.0.5, скачивается безобидный файл с расширением
.css. Если вам не повезло, со страницы автора на PythonAnywhere скачан файл evil_python.exe, представляющий собой... calc.exe из пакета стандартных программ Windows. Но и в этом случае нагрузка отработает при наличии пользователя IXY.Из занятного — в релизах проектов оставлены папки
.idea (папка проекта в IDE PyCharm) и .venv (папка с виртуальным окружением Python), которые, помимо скудной информации об авторе пакета, позволили узнать нам оригинальное название проекта — pip_evil_package. Также благодаря нехитрой цепочке «гугления» выясняется, что разработчик является студентом факультета кибербезопасности одного из университетов Норвегии 2️⃣ В июле-августе 2024 года существовал пакет
recovery, задача которого согласно описанию была простой: Checks recovery phone numbers against login page on yahoo. Имя автора, ExodusChecker, вызывает смутные подозрения, но давайте не будем торопиться.Первые версии пакета выглядят безобидными (скриншот 4 — для версий 0.0.1–0.0.3), затем появляются первые подсказки по вредоносной функциональности (скриншот 5 — версии 0.0.4–0.0.9). Начиная с версии 0.1.0 появляется логика замены файла ресурсов для криптокошелька Exodus (скриншот 6), а с версии 0.1.4 злоумышленник учится прикладывать бинарные файлы в релиз.
Автор на протяжении 19 релизов наращивает функциональность, постепенно превращая proof of concept с абсолютными путями (привет, юзер с именем
hammy, тестирующий на Exodus 24.31.4) в универсальный работающий код. Далее велись лишь QoL-работы. Конечный результат вы можете видеть на скриншоте 7, он отражает тридцатый по счeту релиз — 0.3.1. Скрипт suckme.bat, сохраняемый в папку автозагрузки, — это отдельный анекдот.Сам подменяемый
app.asar использует технику, ранее описанную JFrog в Impala Stealer, по отношению к хранилищу пакетов .NET NuGet: функция unlock из app/wallet/index.js получает функциональность отправки сид-фразы злоумышленнику (скриншоты 8, 9).Простой способ защититься от такого рода напастей — использовать изолированное от пользовательских файлов окружение, например Docker-контейнеры. Это может не спасти конечных пользователей, но разработчики будут в определенной степени защищены от типовых атак. Кроме того, можно посмотреть в сторону PyAnalysis
Желаем в наступающем новом году оставаться в безопасности от проделок злоумышленников
#ti #pypi #pyanalysis #scs
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25👏9❤7👍3🙈2