PyPi-Malware-Erkennung: Diebstahl von Discord-Token zur Verbreitung von Malware
Inhaltsverzeichnis:
Anfang dieses Monats identifizierten Sicherheitsforscher Malware in PyPi, die Benutzerdaten wie Anmeldeinformationen, App-Cookies und -Verläufe sowie andere sensible Daten exfiltrierte. Die Forschungsdaten weisen darauf hin, dass Angreifer bösartige Pakete auf dem Python Package Index (PyPI) hochladen – einem riesigen Repository von Open-Source-Python-Paketen. Ziel ist es, die Benutzer zu täuschen, indem sie sie zum Herunterladen verleiten, indem sie gefälschte Funktionen und Roblox-Tools anbieten. In Wirklichkeit versucht die Malware, gespeicherte Daten zu stehlen. Bei der Ausführung zielt sie auf Browser wie Google Chrome, Firefox und Opera ab; sie kompromittiert auch Discord, indem sie einen dauerhaften bösartigen Agenten in die Prozesse der App einschleust.
PyPi-Malware erkennen
Um Unternehmen dabei zu helfen, ihre Infrastruktur besser zu schützen, hat unser engagierter Threat Bounty Entwickler Aytek Aytemur kürzlich die dedizierte Sigma-Regel veröffentlicht, die eine mühelose Erkennung von PyPi-Malware ermöglicht. Sicherheitsteams können diese und andere relevante Regeln von SOC Primes Detection as Code-Plattform herunterladen:
Neue PyPi-Malware (via process_creation)
Die Regel ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt und adressiert die Taktiken der Verschleierung (Defense Evasion) und Ausführung (Execution) mit Maskierung (T1036) und Geplante Aufgabe/Job (T1053) als primäre Techniken.
Drücken Sie den In der SOC Prime-Plattform anzeigen Knopf, um auf eine umfangreiche Bibliothek mit Inhalten zur Bedrohungserkennung zuzugreifen. Alle Regeln sind dem MITRE ATT&CK-Framework zugeordnet, gründlich kuratiert und verifiziert. SOC-Fachleute, die ihre Sicherheitsdaten effizienter durchsuchen möchten, sind eingeladen, die Vorteile der branchenweit ersten Suchmaschine für Bedrohungsjagd, Bedrohungserkennung und Cyber Threat Intelligence zu nutzen. Um das Tool auszuprobieren, drücken Sie den Drill Down in die Suchmaschine Knopf.
In der SOC Prime-Plattform anzeigen Drill Down in die Suchmaschine
PyPi-Malware-Analyse
PyPi ist sowohl bei großen als auch kleinen Organisationen als Open-Source-Repository äußerst beliebt. Bedrohungsakteure nutzen die Popularität der Plattform bei Millionen von Nutzern aus, um bösartige Pakete zu verbreiten, die legitime Angebote nachahmen, die Python-basierte Projekte unterstützen.
In der aktuellen Welle von Angriffen, die das Repository als Ausgangspunkt nutzen, setzen Angreifer verschiedene Ansätze ein, um ihre Malware zu platzieren. Bei der Verbreitung des bösartigen Pakets, das auf Windows-Hosts abzielt, wird die aktivierte Malware verwendet, um verfügbare Daten zu stehlen und Discord-Ressourcen zu kapern, um weitere ausführbare Dateien herunterzuladen. Die Namen der bewaffneten Pakete lauten wie folgt: Free-net-vpn und Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit und Browserdiv. Forscher warnen davor, dass obwohl sie aus dem Repository entfernt wurden, viele Benutzer die Pakete möglicherweise noch in ihren Systemen speichern.
Weitere Berichte über Angreifer, die PyPI ausnutzen, um ausgedehnte Bedrohungen zu verbreiten, häufen sich in letzter Zeit. Das illegale Einpflanzen von Kryptominern, als bewährte Methode, um Opfersysteme zu infizieren, ist derzeit im Aufschwung.
SOC Prime bietet unverzichtbare Lösungen, um Unternehmen zu helfen, schwer zu durchdringende Systeme zu schützen. Möchten Sie sich mit Branchenführern zusammenschließen und Ihre Sigma- und YARA-Regeln teilen, um die Welt sicherer zu machen? Treten Sie unserem Threat Bounty-Programm bei, um wiederkehrende Belohnungen für Ihre wertvollen Beiträge zu erhalten!
