技术文章

这个月我们有一个相当有趣的恶意发现要讨论,那就是把模因和恶意软件混在一起。

追踪到的索尼-2023-2950,是一个恶意的PypI包,叫做'' 感觉 它被索尼电脑的自动恶意软件检测系统捕捉到,并已被移除。

我们的摇滚星高级安全研究员分析,sonatype.com","type":"person"}"> 阿里·艾尔沙肯基里 , 感觉 正是因为这个名字,我们才把研究的范围扩大到技术层面之外。

不管怎么说,术语是 流行的法国备忘录 ."恐惧"常被开玩笑地说成是对"什么?"(什么?如果把这些术语放在一起说,听起来就像是 咖啡师 意思是理发师。英语中的一个相似的词是"尖叫",作为对"我"听起来像"冰淇淋"的幽默回应。"

一旦软件包安装完毕,它就运行其中所包含的"Setup.py"文件。这个文件非常简单--它本身包含了两个基64编码的字符串:

第一个(在第7行上),建立了一个反壳连接到恩格洛克隧道,据称是由包裹的作者(s)安装:

另一个编码的单行(第26行)实际上封装了整个Windows可执行文件(。本身的文件,即远程存取木马(鼠)[ 病毒分析 这个软件包一安装就开始运行。

Xe是"一个可执行的软件,用于Windows主机,嵌入了多个类蛇模块--包括纯文本格式和字节码。""它可以在系统上坚持下去,并试图在其他功能中隐藏自己。"

埃尔沙肯基里深入挖掘了包含在恶意可执行的脚本。和其他老鼠一样,这些老鼠也有监视功能,可以访问用户的剪贴板、网络、网络摄像头,或者快速生成屏幕截图:

这一切都是作为一个不和盗窃者。

埃尔沙肯基里对文件的分析进一步引导他找到了一个叫做' 无脑鼠 它将自己吹捧为"下一代不和老鼠"的开源存储库。"研究者得出结论,这是"一个确切的非卢拉特拷贝",但对脚本的运行方式稍作修改,并且缺乏混淆。

研究人员解释说:"这绝对不仅仅是一个破坏和谐的人。"

"不和谐被用来进行类似僵尸网络行为的机器人协调。在构建过程中跳过了使用PYARARR的混淆选项。"

我们还确定了与 ‘FeurGroup’ 似乎是包裹的幕后黑手。所谓的法语"联邦行动小组"确实有一个不和谐的服务器和一个经常转发其他法语帐户的推特帐户。在我们写作的时候,这些帐户是现场的:

埃尔沙肯基里承认,这似乎是威胁演员的一个试验场,因为我们无法想象许多开发人员安装"FUR"。

"看起来好像有人在试用它,然后继续在Pypi上发表,"研究人员说,他注意到这个软件包非常明显。 低下载数 ."没有迹象表明是同一团体广泛部署的。"

当然,"Fur"可能不过是个恶作剧,它所包含的有效载荷是非常真实的,并且基于一个开源信息窃取武器库。我们不能说下一波的威胁行为者是如何以合法组件的开发者和组织为目标的,他们可以轻易地对非民用部件进行重新设计。 禁猎者运动 .

使用者 超声式存储库防火墙 可以很容易地知道这样的恶意包会自动被阻止到达他们的开发构建。