Zebo-0.1.0 ve Cometlogger-0.1’deki Python Kötü Amaçlı Yazılımının Kullanıcı Verilerini Çaldığı Bulundu


Makaleden ANAHTAR ÖZET NOKTALARI

  • Kötü Amaçlı Paketler Tespit Edildi: Zebo-0.1.0 ve Cometlogger-0.1, PyPI’de keşfedilen kötü amaçlı Python paketleridir.
  • Hassas Veri Hırsızlığı: Bu paketler, keylogging, ekran görüntüsü yakalama ve bilgi sızdırma yoluyla kullanıcı verilerini çalar.
  • Kalıcılık Mekanizmaları: Sistemin yeniden başlatılması sırasında yeniden çalıştırılacak başlangıç ​​komut dosyaları oluşturarak uzun vadeli kontrol sağlarlar.
  • Gizleme Teknikleri: Gelişmiş gizleme yöntemleri, paketlerin tespit ve güvenlik sistemlerinden kaçmasına yardımcı olur.
  • Geniş Etki: Bu tehditler, PyPI’ye bağımlı olan geliştiricileri ve platformları tehlikeye atarak büyük gizlilik ve güvenlik riskleri oluşturur.

24 Kasım 2024’te Fortinet FortiGuard Laboratuvarı’nın yapay zeka tabanlı tespit sistemi belirlendi Python kötü amaçlı yazılımı Zebo-0.1.0 ve Cometlogger-0.1 adlı iki kötü amaçlı Python paketinde, verileri için şüphelenmeyen kullanıcıları hedef alıyor.

Araştırmacılar, bu paketlerin hassas bilgileri çalabileceğini, ekran görüntüleri yakalayabileceğini, tuş vuruşlarını günlüğe kaydedebileceğini ve virüslü sistemler üzerinde yetkisiz kontrol sağlayabileceğini belirtti. blog yazısı Hackread.com ile paylaşıldı.

Zebo-0.1.0 nedir?

Zebo-0.1.0, gözetim, veri sızdırma ve yetkisiz kontrol için tasarlanmış işlevler de dahil olmak üzere tipik kötü amaçlı yazılım özellikleri sergiliyor ve açık kötü niyetli niyeti gösteren gizleme teknikleriyle birlikte pynput ve ImageGrab gibi kitaplıkları kullanıyor.

Komut dosyası, gerçek işlevselliğini gizlemek için gizlemeyi kullanıyor ve bu da kullanıcıların veya güvenlik sistemlerinin eylemlerini anlamasını zorlaştırıyor. Bu gizleme, güvenlik önlemlerini atlayarak kötü amaçlı yazılımın tespit edilmeden çalışmasına olanak tanıyabilir.

Zebo-0.1.0, kullanıcı tarafından yapılan her tuş vuruşunu günlüğe kaydetmek için pynput’tan yararlanır ve aynı zamanda masaüstünün ekran görüntülerini yakalayarak potansiyel olarak gizliliklerini ihlal eder. Ayrıca komut dosyası, tuş vuruşları ve ekran görüntüleri gibi hassas bilgileri uzak bir sunucuya sızdırarak kullanıcı gizliliğini tehlikeye atıyor.

Kalıcılığı sağlamak için kötü amaçlı yazılım, Windows Başlangıç ​​klasöründe bir Python komut dosyası ve bir toplu iş dosyası oluşturarak sistem başlatıldığında yeniden yürütülmesini sağlar, kaldırılmasını zorlaştırır ve uzun vadeli hasar riskini artırır.

Cometlogger-0.1 nedir?

Cometlogger-0.1, kurbanın sisteminde uzun süreli varlığını korur ve kullanıcı verilerini tehlikeye atmak için gizleme, tuş kaydetme, ekran yakalama ve veri sızması gibi gelişmiş teknikler kullanır. Kullanıcıdan dinamik olarak bir “web kancası” ister ve bunu Python dosyalarına yerleştirerek yetkisiz kullanıcıların olası manipülasyonuna olanak tanır. Bu, hassas verileri kötü amaçlı sunuculara yönlendirebilir veya komuta ve kontrol işlemlerini kolaylaştırabilir.

Komut dosyası ayrıca Discord, Steam, Instagram ve Twitter gibi çeşitli platformları da hedef alarak jetonları, şifreleri ve hesap bilgilerini çalıyor. Ek olarak, analizden kaçmak için VM karşıtı algılama teknikleri kullanır ve dinamik dosya değiştirme yeteneklerini birleştirerek kötü amaçlı kod enjeksiyonuna olanak tanır.

Her iki paket de kullanıcı gizliliği ve güvenliği açısından büyük bir tehdittir. Zebo-0.1.0, hassas verileri aktif olarak toplar ve uzak sunuculara iletir. Cometlogger-0.1 ise bilgi hırsızlığına ve kurbanın sisteminde kalıcı bir varlık sürdürmeye odaklanıyor. Etkilenen sistemler, PyPI paketlerinin Yüksek önem düzeyinde kurulabileceği tüm platformları içeriyor ve bunları kuran kişi veya kurumları tehdit ediyor kötü amaçlı paketler.

Zebo-0.1.0 ve Cometlogger-0.1'deki Python Kötü Amaçlı Yazılımının Kullanıcı Verilerini Çaldığı Bulundu
Kötü amaçlı yazılım tarafından çalınan veriler (Fortinet FortiGuard Lab aracılığıyla)

Python Paket Dizini (PyPI), geliştiriciler için paha biçilmez bir kaynak haline geldi ve geniş bir yeniden kullanılabilir kod deposu sunuyor. Ancak bu kolaylık, kötü niyetli aktörlerin, kurulduğunda sistemleri tehlikeye atabilecek kötü amaçlı paketler yayınlayarak bu kolaylıktan giderek daha fazla yararlanması nedeniyle doğal riskleri de beraberinde getiriyor. Soket Güvenliği araştırmacıları geçen ay keşfetti PyPI’de “Fabrice” adı verilen başka bir kötü amaçlı Python paketi, 2021’deki başlangıcından bu yana 37.000’den fazla indirildi ve üç yıl boyunca geliştiricilerden AWS kimlik bilgilerini topladı.

Bu tehditlere karşı korunmak için internet bağlantısını kesmek, virüs bulaşan sistemi yalıtmak, saygın bir antivirüs yazılımı kullanmak ve gerekirse sistemi yeniden biçimlendirmek çok önemlidir.

  1. Veri Biliminde Python’u öğrenmek neden önemlidir?
  2. 6 resmi Python deposu kripto madencilik kötü amaçlı yazılımlarıyla boğuşuyor
  3. PythonAnywhere Bulut Platformu Fidye Yazılımı Barındırmak Amacıyla Suistimal Edildi
  4. Tehdit İstihbaratında Python: Siber Tehditleri Analiz Etme – Azaltma
  5. Python Uygulamalarındaki NTLM Kimlik Bilgisi Hırsızlığı Windows Güvenliğini Tehdit Ediyor





Source link