Fortinet FortiGuard Labs’ın yeni bulgularına göre siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposuna yüklenen ve ele geçirilen ana bilgisayarlardan hassas bilgileri sızdırma yetenekleriyle donatılmış iki kötü amaçlı paketi işaretledi.
Zebo ve Cometlogger adlı paketlerin her biri, kaldırılmadan önce 118 ve 164 kez indirildi. ClickPy istatistiklerine göre bu indirmelerin çoğunluğu ABD, Çin, Rusya ve Hindistan’dan geldi.
Güvenlik araştırmacısı Jenna Wang, Zebo’nun “gözetim, veri sızdırma ve yetkisiz kontrol için tasarlanmış işlevlere sahip tipik bir kötü amaçlı yazılım örneği” olduğunu belirterek, kuyruklu yıldız kaydedicinin “aynı zamanda dinamik dosya manipülasyonu, web kancası enjeksiyonu, bilgi çalma gibi kötü niyetli davranış belirtileri gösterdiğini” ekledi. ve anti-[virtual machine] kontrol eder.”
İki paketten ilki olan zebo, HTTP istekleri üzerinden iletişim kurduğu komut ve kontrol (C2) sunucusunun URL’sini gizlemek için altıgen kodlu dizeler gibi gizleme tekniklerini kullanır.
Ayrıca, tuş vuruşlarını yakalamak için pynput kitaplığından yararlanmak ve bunları bir API kullanarak ücretsiz görüntü barındırma hizmeti ImgBB’ye yüklemeden önce her saat başı periyodik olarak ekran görüntüleri almak ve bunları yerel bir klasöre kaydetmek için ImageGrab’den yararlanmak da dahil olmak üzere verileri toplamak için bir dizi özellik içerir. anahtar C2 sunucusundan alındı.
Kötü amaçlı yazılım, hassas verileri dışarı çıkarmanın yanı sıra, Python kodunu başlatan bir toplu komut dosyası oluşturarak ve bunu Windows Başlangıç klasörüne ekleyerek her yeniden başlatma sonrasında otomatik olarak yürütülmesini sağlayarak makinede kalıcılık sağlıyor.
Öte yandan Cometlogger, Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify ve Roblox.
Ayrıca sistem meta verilerini, ağ ve Wi-Fi bilgilerini, çalışan işlemlerin bir listesini ve pano içeriğini toplama yeteneğine de sahiptir. Ayrıca, sanallaştırılmış ortamlarda çalışmayı önlemek için kontroller içerir ve sınırsız dosya erişimini sağlamak için web tarayıcısıyla ilgili işlemleri sonlandırır.
Wang, “Komut dosyası, görevleri eşzamansız olarak yürüterek verimliliği en üst düzeye çıkarıyor ve kısa sürede büyük miktarda veri çalıyor” dedi.
“Bazı özellikler meşru bir aracın parçası olsa da, şeffaflığın olmayışı ve şüpheli işlevsellik, yürütülmesini güvensiz hale getiriyor. Kodu çalıştırmadan önce daima inceleyin ve doğrulanmamış kaynaklardan gelen komut dosyalarıyla etkileşimde bulunmaktan kaçının.”