窃取加密货币的PyPI恶意软件同时攻击Windows用户和Linux用户

安全侠2024-01-29 17:43:36
FortiGuard Labs的最新研究报告揭示了一个令人担忧的趋势:威胁行为者正在利用Python包索引(PyPI)(Python开发的软件包的开放存储库)来上传受恶意软件感染的包。对PyPI基础设施的利用给用户带来了重大风险。



FortiGuard Labs团队最近发现了一名PyPI恶意软件作者“WS”,该作者将恶意软件包上传到PyPI,估计有超过2000名潜在受害者。已识别的软件包包括nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends和TestLibs111,其攻击方法与Checkmarx在2023年识别的攻击类似。


这些包包含base64编码的Python脚本,这些脚本的执行取决于受害者的操作系统。这些软件包在Windows设备上部署Whitesnake PE恶意软件或Python脚本,以从Linux设备窃取信息。


该方案的有趣之处在于,Python脚本使用一种新方法来传输被盗数据,使用一系列IP地址作为目的地,而不是单个固定URL。即使一台服务器出现故障,这也有助于确保数据传输成功。


最近发现的软件包主要针对Windows用户,而之前的软件包则同时针对Linux用户和Windows用户。目的是从受害者那里窃取敏感信息。


Whitesnake PE有效负载是使用PyInstaller工具创建的Python编译的可执行文件,显示不完整的脚本文件“main.pyc”和另一个文件“addresses.py”。这是比较可疑的。“Main.pyc”是秘密代码,它将自身复制到Windows启动文件夹以自动运行、探测逻辑驱动器并监视正在运行的实例的计数。


它还检索剪贴板内容并将其与预定义的加密货币地址模式进行比较,促使其使用“addresses.py”中的相应地址覆盖剪贴板,从而可能欺骗受害者将加密货币交易定向到意外的目的地。


有效负载是一个加密的.NET可执行文件,在安装后立即启动一个不可见的窗口,并将其自身添加到Windows Defender的排除列表中。然后,它会创建一个计划任务,每小时在受感染的设备上运行一次。该任务使用“socket.io”将恶意IP连接到客户端,并收集敏感用户数据,包括IP地址和主机凭据。


有效负载捕获钱包和浏览器数据,并通过远程服务器将其作为具有多个加密层的.zip文件发送到可疑的IP地址,攻击者会提取并窃取该数据。调试显示的字符串表明从各种设备(例如加密货币服务、应用程序和浏览器)中窃取了信息。



该研究揭示了单个恶意软件作者可以轻松地将多个信息窃取包分发到PyPI库中,这凸显了在使用开源包时需要保持警惕。


“信息窃取恶意软件是一个日益相关和紧迫的主题。防范这些顽固的对手需要采取战略性和前瞻性的方法来加强防御。”FortiGuard实验室的研究人员总结道。

软件linux服务器
本作品采用《CC 协议》,转载必须注明作者和本文链接
Clop 勒索软件团伙现在也在使用一种明确针对 Linux 服务器的恶意软件变体,但加密方案中的一个缺陷使受害者能够在几个月内悄悄地免费恢复他们的文件。此外,在 Linux 上没有区别对待各种大小文件的机制。将 RC4 和额外数据写入文件适用于 Linux 的 Clop 勒索软件不太可能成为当前形式的广泛威胁。解密器的发布可能会促使其作者发布具有适当加密方案的安全和改进版本。
因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。 本文主要分为如下部分展开:
利用专门针对 Linux 和 FreeBSD 等发行版本开发的恶意程序变种,Hive 勒索软件团队正对这些平台发起攻击。正如斯洛伐克互联网安全公司 ESET 所发现的,Hive 的新加密器仍在开发中,不过缺乏相关功能。
当企业发生网络安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时还需进一步查找入侵来源,还原入侵事故过程,给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的网络安全事件:
研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客联系。
根据BleepingComputer消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软件,并在推特上发布了关于该团伙数据泄露站点的各种图片。
新勒索软件B0r0nt0K加密了在Linux平台上运行的用户网站。B0r0nt0K可感染Linux服务器,但也可加密Windows平台。此次被加密用户网站在Ubuntu 16.04上运行,B0r0nt0K采用base64进行编码,其所有文件以.rontok为扩展名被加密。
目前所有工厂正常运转,所有业务离线进行……
根据 SentinelLabs 公布的最新报告,该勒索软件出现了新的变种,也可以对 Linux 平台发起勒索攻击。攻击者利用 IBM Aspera Faspex 文件共享软件中的反序列化漏洞,通过传播 IceFire 变种攻击了全球多个媒体和娱乐部门的服务器Linux 设备和服务器一旦感染 IceFire 变种,将会加密数据,对文件添加“.ifire”扩展名。
安全侠
暂无描述