Son zamanlarda, FortiGuard Labs ekibi, PyPI paketlerinde birkaç yeni sıfır gün saldırısının çığır açan bir keşfini yaptı. Bu saldırıların kaynağı, “Core1337” olarak bilinen bir kötü amaçlı yazılım yazarına kadar izlendi. Bu kişi bir dizi paket yayınlamıştı.
Aşağıda Core1337 tarafından yayınlanan paketlerden bahsetmiştik: –
- 3m-promo-gen-arı
- Ai-Solver-gen
- hypixel-madeni paralar
- httpxrequesterv2
- httpxistek sahibi
27 Ocak ile 29 Ocak 2023 tarihleri arasında bu saldırılar yayınlandı. FortiGuard Labs ekibi tarafından yapılan son keşif, kötü amaçlı yazılım yazarı “Core1337” tarafından yayınlanan paketlerin her birinin boş bir açıklama içeren yalnızca bir sürümü olduğunu ortaya çıkardı.
Ancak endişe verici olan, tüm bu paketlerin benzer kötü amaçlı kodlar içermesiydi. Bu, karmaşıklık düzeyi ve bu saldırıların arkasındaki niyetler sorununu gündeme getiriyor.
Teknik Analiz Paketlerin
Her şeyden önce, siber güvenlik analistleri, kurulumunda bir web kancası için URL’ye benzeyen bir şey fark ettiler.[.]py dosyası: –
- hxxps://discord[.]com/api/webhooks/1069214746395562004/sejnJnNA3lWgkWC4V86RaFzaiUQ3dIAG958qwAUkLCkYjJ7scZhoa-KkRgBOHQw8Ecqd
Her paketten gönderilen webhook’un URL’si dışında, her paketin setup.py dosyasında benzer bir kod vardır. Söz konusu URL’nin kötü şöhretli “Spidey Bot” kötü amaçlı yazılımıyla bir bağlantısı olabileceği anlaşılıyor.
Bu özel kötü amaçlı yazılım türü, kuruluş tarafından yakın tarihli bir blog gönderisinde vurgulandığı gibi, Discord aracılığıyla kişisel bilgileri çalma becerisiyle ünlüdür. “Web3-Essential Package” başlıklı blog, “Spidey Bot”un yarattığı tehlikeleri araştırıyor.
Alandaki uzmanlar, setup.py betiğini inceleyerek gerçekleştirilen yakın tarihli bir statik analizde olası kötü niyetli davranışları keşfettiler. Bu süreçte uzmanlar kodu titizlikle incelediler ve kötü niyete işaret eden birkaç temel gösterge belirlediler.
Kötü amaçlı yazılım analizi alanındaki uzmanlar, birincil işlevini dikkatlice inceleyerek belirli bir kötü amaçlı yazılım türünün davranışı hakkında genel bir fikir edinmiştir.
Bulgularına göre, bu kötü amaçlı yazılım, çeşitli tarayıcılardan ve Discord platformundan hassas bilgileri çıkarmaya ve ardından daha sonra sızmak üzere bir dosyada saklamaya çalışabilir.
Uzmanlar, bu kötü amaçlı yazılımın iç işleyişini daha iyi anlamak için dikkatlerini “getPassw” işlevine odakladılar. Bu işlev, tarayıcıdan kullanıcı ve parola bilgilerini toplamak ve ardından bir metin dosyasına kaydetmek için özel olarak tasarlanmıştır.
Kötü amaçlı yazılımın, kendisine eşlik eden metin dosyasının en üstüne adının yazılması şeklinde belirgin bir şekilde görüntülediği, kendi kendini ilan eden bir “Fade Stealer” başlığı vardır.
‘getCookie’ işlevine gelince, davranış diğer işlevlerinde görülene benzer. “Kiwi”, “KiwiFile” ve “uploadToAnonfiles” işlevlerine dayalı olarak, kötü amaçlı yazılımın belirli dizinleri taramak ve belirli dosya adlarını bir dosya paylaşım platformu aracılığıyla aktarmak amacıyla belirli dosya adlarını seçmek üzere programlandığı görülmektedir:-
Tüm bu paketlerin ortak bir noktası var – saldırı başlatmak amacıyla oluşturulmuş benzer kodlara sahipler. Tüm bu paketler farklı adlara sahip olsa da, temel amaç ve kod yapısı aynıdır, bu da tek bir yazarın çalışmasını gösterir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin