On yıl boyunca Python, programlama dillerine hakim oldu ve açık kaynak sevgisiyle sürekli olarak büyüdü.
Milyonlarca kullanıcı tarafından kullanılan çok sayıda popüler Python projesi mevcuttur. Ancak bunun yanı sıra son zamanlarda açık kaynaklı kötü amaçlı yazılımların da ortaya çıktığına dikkat çekiliyor.
Yeni depolar, veri hırsızlığı için Python kodunu paylaşıyor ve minimum düzeydeki Python bilgisi, herkesin kötü amaçlı yazılım oluşturmasına ve dağıtmasına olanak tanıyor.
K7 Güvenlik Laboratuvarlarındaki siber güvenlik araştırmacıları yakın zamanda, oturum açma kimlik bilgilerini ve hassas verileri çaldığı tespit edilen açık kaynaklı kötü amaçlı yazılımlarda önemli bir artış tespit etti.
Açık Kaynaklı Kötü Amaçlı Yazılımlarda Artış
On yıl boyunca Python, programlama dillerine hakim oldu ve açık kaynak sevgisiyle sürekli olarak büyüdü.
Milyonlarca kullanıcı tarafından kullanılan çok sayıda popüler Python projesi mevcuttur. Ancak bunun yanı sıra son zamanlarda açık kaynaklı kötü amaçlı yazılımların da ortaya çıktığına dikkat çekiliyor.
Yeni depolar, veri hırsızlığı için Python kodunu paylaşıyor ve minimum düzeydeki Python bilgisi, herkesin kötü amaçlı yazılım oluşturmasına ve dağıtmasına olanak tanıyor.
Güvenlik analistleri, üçüncü taraf bir antivirüs test cihazından, başlangıçta Python tabanlı bir ikili program gibi görünen ancak bir pyinstaller paketleyicisi olarak ‘Kolay Algıla’ tarafından tespit edilemeyen bir örnek aldı.
Python ile ilgili dizelere sahip ‘BlankGrabber’ kötü amaçlı yazılımı olarak ortaya çıktı. Sahte bir sertifikaya ve zararsız bir görünüme rağmen, içeriği pyinstxtractor kullanarak çıkarıyor.
‘loader-o.pyc’nin pycdc ile derlenmesi ‘stub-o.pyc’yi açığa çıkarır ve kodun karmaşıklaşmasına yol açar.
Yürütme ortamında kara listeye alınmış aşağıdaki verileri tarar: –
- UUID’ler
- bilgisayar isimleri
- Kullanıcı adları
- Yürütme ortamındaki görevler
Daha sonra kayıt defteri anahtarlarında VM izleri olup olmadığını kontrol eder. Güvenli bir ortamın onaylanması, verileri hızlı bir şekilde toplayıp tehdit aktörüne göndermek için çok iş parçacıklı hırsız işlevlerini tetikler.
Hırsızın Topladığı Veriler
Aşağıda, hırsızın topladığı tüm veri türlerinden bahsettik: –
- Tarayıcı Verileri
- Anlaşmazlık Verileri
- Telgraf verileri
- Kripto Cüzdan verileri
- Wifi şifre verileri
- Ekran görüntüleri
- Web kamerası yakalama
- Sistem Bilgisi ve Dosya Hırsızı
2022’nin sonlarında bu kötü amaçlı yazılım ortaya çıktı ve bu kötü amaçlı yazılımın geliştiricisi, eğitim amaçlı olduğunu iddia ediyor ancak bunu kötü amaçlı olarak kullanıyor.
Python’a yeni başlayanlar GUI’yi kolayca özelleştirerek herkes için basitleştirebilir ve oluşturucu grubu, tehdit aktörünün gui.py girişini tetikler.
Bu arada stub.py dosyasındaki kötü amaçlı kod, “Ayarlar” değişkenlerinin yerini alıyor. BlankOBF.py kodla aşağıdaki şeyleri yapar: –
- Kodu gizler
- Kodu derler
- Kodu böler
Analizin karmaşıklığı nedeniyle önemsiz kodlar eklendi. Bunun yanı sıra PyPi’de repo’nun pyaes modülü tarafından yazım hatası-çömelme ile şifrelenmiş AES ile derlendi ve arşivlendi.
IoC’ler
