Recentemente, a equipe do FortiGuard Labs fez uma descoberta inovadora de vários novos ataques de dia zero nos pacotes PyPI. A origem desses ataques remonta a um autor de malware conhecido como “Core1337”. Este indivíduo publicou vários pacotes.
Abaixo mencionamos os pacotes publicados pelo Core1337: –
- 3m-promo-gen-api
- Ai-Solver-gen
- moedas hipixeis
- httpxrequesterv2
- httpxrequester
Entre 27 e 29 de janeiro de 2023, estes ataques foram publicados. A recente descoberta feita pela equipe do FortiGuard Labs revelou que cada um dos pacotes publicados pelo autor do malware “Core1337” tinha apenas uma versão com descrição vazia.
No entanto, o que foi alarmante foi o facto de todos estes pacotes conterem códigos maliciosos semelhantes. Isto levanta a questão do nível de sofisticação e das intenções por trás destes ataques.
Análise técnica dos Pacotes
Em primeiro lugar, os analistas de segurança cibernética notaram algo que se parece com uma URL de um webhook em sua configuração[.]arquivo py: –
- hxxps://discord[.]com/api/webhooks/1069214746395562004/sejnJnNA3lWgkWC4V86RaFzaiUQ3dIAG958qwAUkLCkYjJ7scZhoa-KkRgBOhQw8Ecqd
Há um código semelhante no arquivo setup.py de cada pacote, exceto para a URL do webhook enviado de cada pacote. Parece que o URL em questão pode ter uma conexão com o infame malware “Spidey Bot”.
Esse tipo específico de malware é conhecido por sua capacidade de roubar informações pessoais por meio do Discord, conforme destacado em uma postagem recente no blog da organização. O blog, intitulado “Web3-Essential Package”, investiga os perigos representados pelo “Spidey Bot”.
Especialistas na área descobriram possíveis comportamentos maliciosos em uma análise estática recente conduzida revisando o script setup.py. Durante esse processo, os especialistas examinaram meticulosamente o código e conseguiram identificar vários indicadores-chave que apontam para intenções maliciosas.
Especialistas na área de análise de malware obtiveram uma compreensão geral do comportamento de uma cepa específica de malware examinando cuidadosamente sua função principal.
De acordo com suas descobertasesse malware pode tentar extrair informações confidenciais de vários navegadores e da plataforma Discord e, em seguida, armazená-las em um arquivo para exfiltração posterior.
Para obter uma melhor compreensão do funcionamento interno deste malware, os especialistas concentraram sua atenção na função “getPassw”. Esta função foi projetada especificamente para coletar informações de usuário e senha do navegador e salvá-las em um arquivo de texto.
O malware tem o título autoproclamado de “Fade Stealer”, que é exibido com destaque na forma de seu nome escrito na parte superior do arquivo de texto que o acompanha.
Quanto à função ‘getCookie’, o comportamento é semelhante ao visto em suas demais funções. Com base nas funções de “Kiwi”, “KiwiFile” e “uploadToAnonfiles”, parece que o malware está programado para verificar diretórios específicos e selecionar nomes de arquivos específicos com a finalidade de transferi-los através de uma plataforma de compartilhamento de arquivos:-
Todos esses pacotes têm uma coisa em comum – possuem códigos semelhantes que são criados com a finalidade de lançar ataques. Embora todos esses pacotes possam ter nomes diferentes, a intenção subjacente e a estrutura do código são as mesmas, o que indica o trabalho de um único autor.
