Rilevamento malware su PyPi: Furto di token Discord per diffondere malware
Indice:
All’inizio di questo mese, i ricercatori di sicurezza hanno identificato un malware su PyPi che esfiltrava le credenziali degli utenti, i cookie delle app e la cronologia, insieme ad altri dati sensibili. I dati della ricerca indicano che gli avversari caricano pacchetti dannosi su The Python Package Index (PyPI) – un vasto repository di pacchetti Python open-source. L’obiettivo è ingannare gli utenti spingendoli a scaricarli offrendo funzionalità fasulle e strumenti per Roblox. In realtà , il malware tenta di rubare i dati memorizzati. Quando eseguito, prende di mira browser come Google Chrome, Firefox e Opera; compromette anche Discord, iniettando un agente maligno persistente nei processi dell’app.
Rileva il Malware PyPi
Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, il nostro sviluppatore esperto di Threat Bounty Aytek Aytemur ha recentemente rilasciato una regola Sigma dedicata che consente di rilevare facilmente il malware PyPi. I team di sicurezza possono scaricare questa e altre regole rilevanti dalla piattaforma Detection as Code di SOC Prime:
Nuovo Malware PyPi (tramite process_creation)
La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando le tattiche di Difesa Evasione ed Esecuzione con le tecniche di Masquerade (T1036) e Attività /Processo Pianificato (T1053) come tecniche principali.
Premi il pulsante Visualizza sulla piattaforma SOC Prime per accedere a una vasta libreria di contenuti per il rilevamento delle minacce informatiche. Tutte le regole sono mappate al framework MITRE ATT&CK, curate e verificate accuratamente. I professionisti SOC che desiderano analizzare i dati di sicurezza della loro organizzazione con maggiore efficienza sono invitati a sfruttare i benefici del primo motore di ricerca del settore per Threat Hunting, Threat Detection e Cyber Threat Intelligence. Per provare lo strumento, premi il pulsante Scava nel motore di ricerca .
Visualizza sulla piattaforma SOC Prime Scava nel motore di ricerca
Analisi del Malware Pypi
PyPi è molto popolare tra le organizzazioni grandi e piccole repository di codice open source. Gli attori delle minacce sfruttano la popolarità della piattaforma tra milioni di utenti per distribuire pacchetti dannosi imitando offerte legittime che beneficiano i progetti basati su Python.
Nell’attuale ondata di attacchi che utilizzano il repository come punto di partenza, gli avversari impiegano diversi approcci per impiantare il loro malware. Nel caso della distribuzione del pacchetto dannoso mirato agli host Windows, il malware attivato viene utilizzato per rubare dati disponibili e dirottare risorse Discord per scaricare più eseguibili. I nomi dei pacchetti armati sono i seguenti: Free-net-vpn e Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit e Browserdiv. I ricercatori avvertono che anche se sono stati rimossi dal repository, molti utenti potrebbero ancora conservare i pacchetti nei loro sistemi.
Recentemente sono emersi più rapporti di avversari che sfruttano PyPI per distribuire minacce elaborate. La piantagione illecita di cryptominer, come un modo collaudato per infettare i sistemi delle vittime, è attualmente in aumento.
SOC Prime offre soluzioni indispensabili per aiutare le aziende a mantenere protezioni dei sistemi difficili da violare. Vuoi unirti alle forze con leader del settore e condividere le tue regole Sigma e YARA per rendere il mondo più sicuro? Unisciti al nostro programma Threat Bounty per ottenere ricompense ricorrenti per il tuo prezioso contributo!
