La empresa de seguridad de la cadena de suministro de software Phylum identificó un ataque malicioso dirigido a los usuarios de Python Package Index (PyPI) con la puerta trasera PoweRAT y un ladrón de información.
La campaña se detectó por primera vez el 22 de diciembre de 2022, cuando se identificó un paquete malicioso llamado PyroLogin como malware de Python diseñado para obtener código de un servidor remoto y ejecutarlo en silencio.
Entre el 28 y el 31 de diciembre, los investigadores de seguridad de Phylum observaron la publicación en PyPI de cinco paquetes adicionales que contenían un código similar a PyroLogin: EasyTimeStamp, Discorder, Discord-dev, Style.py y PythonStyles.
La cadena de infección, que involucra la ejecución de varios scripts y el abuso de funciones legítimas del sistema operativo, comienza con un archivo setup.py, lo que significa que el malware se implementa automáticamente si los paquetes maliciosos se instalan usando Pip.
El análisis de Phylum del proceso de ejecución reveló el uso de ofuscación e intentos de evitar el análisis estático. Para evitar despertar las sospechas de las víctimas, se muestra un mensaje que afirma que se están instalando “dependencias”, mientras que el código malicioso se ejecuta en segundo plano.
La cadena de infección también incluye la instalación de múltiples paquetes potencialmente invasivos, incluidas bibliotecas que permiten a los atacantes controlar y monitorear la entrada del mouse y el teclado y capturar la pantalla, y colocar código malicioso en la carpeta de inicio de Windows, para persistencia.
Una vez que está en funcionamiento en la máquina de la víctima, el malware permite a los atacantes robar información confidencial, como cookies y contraseñas del navegador, billeteras criptográficas, tokens de Discord y datos de Telegram. La información recopilada se filtra en un archivo ZIP.
El malware también intenta descargar e instalar en la computadora de la víctima Cloudflared, un cliente de túnel de línea de comandos de Cloudflare que permite a los atacantes acceder a una aplicación Flask en el sistema de la víctima sin modificar el firewall.
Actuando como un cliente de comando y control (C&C), la aplicación Flask permite a los atacantes extraer información como nombre de usuario, direcciones IP y detalles de la máquina, ejecutar comandos de shell, descargar y ejecutar archivos remotos e incluso ejecutar código Python arbitrario.
El malware, que funciona como un ladrón de información combinado con un troyano de acceso remoto (RAT), también contiene una función que envía a los atacantes un flujo constante de imágenes de la pantalla de la víctima y les permite hacer clic con el mouse y presionar botones.
El malware se llama Xrat, pero Phylum decidió llamarlo PoweRAT “debido a su dependencia inicial de PowerShell en la cadena de ataque”.
“Esta cosa es como una RAT con esteroides. ¡Tiene todas las capacidades básicas de RAT integradas en una buena GUI web con una capacidad de escritorio remoto rudimentaria y un ladrón para arrancar! Incluso si el atacante no logra establecer la persistencia o no logra que la utilidad de escritorio remoto funcione, la parte del ladrón seguirá enviando lo que encuentre”, concluye Phylum.
Fuente: securityweek.com
