İki kötü amaçlı Python paketi, Zebo-0.1.0 ve Cometlogger-0.1, yakın zamanda Fortinet’in yapay zeka destekli OSS kötü amaçlı yazılım tespit sistemi tarafından tespit edildi.
Sırasıyla 16 Kasım ve 24 Kasım 2024’te tespit edilen bu paketler, gelişmiş kötü amaçlı yazılım tekniklerinden yararlanarak kullanıcılar için önemli tehditler oluşturuyor.
Bu bulgular, bu tür karmaşık tehditlere karşı koruma sağlamak için güçlü siber güvenlik önlemlerinin kritik öneminin altını çiziyor.
Zebo-0.1.0’ın Kötü Amaçlı Davranışları
Zebo-0.1.0 paketi, kullanıcıları gözetlemek, hassas verileri sızdırmak ve yetkisiz sistem kontrolünü sürdürmek için tasarlanmış bir dizi kötü amaçlı etkinlik sergiliyor.
Zebo-0.1.0’ın temel kötü amaçlı işlevleri şunları içerir:
- Keylogging ve Ekran Yakalama: Kötü amaçlı yazılım, her tuş vuruşunu kullanarak izler.
pynputkütüphane aracılığıyla düzenli aralıklarla ekran görüntüleri yakalar veImageGrab. - Veri Süzülmesi: Tuş vuruşları ve ekran görüntüleri gibi hassas kullanıcı verileri, gizlenmiş HTTP istekleri kullanılarak uzak bir Firebase veritabanına yüklenir.
- Kalıcılık Mekanizması: Paket, otomatik olarak çalıştırılan Python komut dosyaları ve sistem başlatıldığında başlatılan toplu iş dosyaları oluşturarak kullanıcının sisteminde uzun süreli varlık sağlar.
Kötü amaçlı URL’lerin kodlanması da dahil olmak üzere gizleme tekniklerinin kullanılması, tespit çabalarını karmaşık hale getirir ve bu kötü amaçlı yazılımın karmaşık doğasını vurgular.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Cometlogger-0.1’in Oluşturduğu Tehditler
Tanımlanan başka bir kötü amaçlı paket olan Cometlogger-0.1, karmaşıklığı bir adım daha ileri taşıyor.
Dosyaları dinamik olarak değiştirme, hassas bilgileri çalma ve güvenlik ortamlarını atlama yeteneğine sahiptir.
Dikkate değer özellikler şunları içerir:
- Web Kancası Ekleme ve Bilgi Hırsızlığı: Kötü amaçlı yazılım, web kancalarını birden fazla dosyaya enjekte ederek kullanıcı adlarının, şifrelerin, çerezlerin ve kripto para cüzdanı verilerinin sızmasını kolaylaştırır. Hedeflenen platformlar Discord, Instagram ve çeşitli tarayıcıları içerir.
- VM Karşıtı Kontroller: Kötü amaçlı yazılım, araştırmacılar ve güvenlik araçları tarafından kullanılan sanal alan ortamlarında tespit edilmekten kaçınmak için sanallaştırma önleme teknikleri kullanıyor.
- Dinamik Dosya Değişiklikleri: Paket, çalışma zamanı sırasında Python dosyalarını yöneterek kötü amaçlı komutların yürütülmesini sağlar ve gizli varlığını korur.
Cometlogger-0.1’in özellikle endişe verici bir yönü, şifrelenmiş kimlik bilgilerini ve kart verilerini tarayıcı deposundan çıkarma yeteneğidir, bu da mali dolandırıcılık ve kimlik hırsızlığı riskini önemli ölçüde artırır.
Bu kötü amaçlı paketlerin oluşturduğu riski azaltmak için kullanıcıların ve kuruluşların aşağıdaki siber güvenlik en iyi uygulamalarını takip etmeleri önerilir:
- Bağlantıyı Kes ve Tara: Etkilenen sistemlerin internet bağlantısını derhal kesin ve saygın bir antivirüs yazılımı kullanarak kapsamlı bir kötü amaçlı yazılım taraması gerçekleştirin.
- Kod İncelemesi: Doğrulanmamış Python paketleri kurmaktan kaçının ve yürütmeden önce üçüncü taraf komut dosyalarının kodunu inceleyin.
- Ağ İzleme: Şüpheli ağ etkinliklerini tanımlamak ve engellemek için izinsiz giriş tespit sistemlerini uygulayın.
- Farkındalık Eğitimi: Kullanıcıları kimlik avı düzenlerini tanıma ve güvenli olmayan indirmelerden kaçınma konusunda eğitin.
Fortinet müşterileri, bu özel kötü amaçlı yazılım paketlerini tespit edecek ve önleyecek şekilde kalibre edilmiş FortiGate ve FortiClient araçları da dahil olmak üzere güncellenmiş AntiVirus hizmetleri aracılığıyla bu tehditlere karşı korunmaya devam ediyor.
Zebo-0.1.0 ve Cometlogger-0.1’in keşfi, açık kaynak bağımlılıklarının oluşturduğu artan risklere dikkat çekiyor.
Bu kötü amaçlı paketler, saldırganların algılamayı atlamak, verileri sızdırmak ve hem bireyleri hem de kuruluşları hedef almak için karmaşık teknikleri nasıl kullanabileceğini etkili bir şekilde göstermektedir.
Gelişmiş siber güvenlik araçlarıyla birlikte artan dikkat, bu tür tehditlerle mücadelede kritik öneme sahip olmaya devam ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin