Cybersecurity-onderzoekers hebben twee kwaadaardige pakketten gemarkeerd die zijn geüpload naar de Python Package Index (PyPI)-repository en die zijn uitgerust met mogelijkheden om gevoelige informatie van gecompromitteerde hosts te exfiltreren, volgens nieuwe bevindingen van Fortinet FortiGuard Labs.
De pakketten, genaamd zebo en cometlogger, werden elk 118 en 164 keer gedownload voordat ze werden verwijderd. Volgens ClickPy-statistieken kwam het merendeel van deze downloads uit de Verenigde Staten, China, Rusland en India.
Zebo is een “typisch voorbeeld van malware, met functies die zijn ontworpen voor surveillance, data-exfiltratie en ongeoorloofde controle”, zegt beveiligingsonderzoeker Jenna Wang, en voegt eraan toe dat cometlogger “ook tekenen van kwaadaardig gedrag vertoont, waaronder dynamische bestandsmanipulatie, webhook-injectie, het stelen van informatie, en anti-(virtuele machine) controles.”
Het eerste van de twee pakketten, zebo, maakt gebruik van verduisteringstechnieken, zoals hex-gecodeerde strings, om de URL te verbergen van de command-and-control (C2)-server waarmee het communiceert via HTTP-verzoeken.
Het bevat ook een hele reeks functies om gegevens te verzamelen, waaronder het gebruik van de pynput-bibliotheek om toetsaanslagen vast te leggen en ImageGrab om periodiek elk uur schermafbeeldingen te maken en deze op te slaan in een lokale map, voordat ze worden geüpload naar de gratis beeldhostingservice ImgBB met behulp van een API sleutel opgehaald van de C2-server.
Naast het exfiltreren van gevoelige gegevens, zorgt de malware voor persistentie op de machine door een batchscript te maken dat de Python-code start en deze toevoegt aan de Windows Opstartmap, zodat deze automatisch wordt uitgevoerd bij elke herstart.
Cometlogger daarentegen zit boordevol functies en haalt een breed scala aan informatie over, waaronder cookies, wachtwoorden, tokens en accountgerelateerde gegevens van apps zoals Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify en Roblox.
Het is ook in staat om systeemmetagegevens, netwerk- en Wi-Fi-informatie, een lijst met actieve processen en klembordinhoud te verzamelen. Bovendien bevat het controles om te voorkomen dat het in gevirtualiseerde omgevingen wordt uitgevoerd en worden webbrowser-gerelateerde processen beëindigd om onbeperkte toegang tot bestanden te garanderen.
“Door taken asynchroon uit te voeren, maximaliseert het script de efficiëntie en steelt het in korte tijd grote hoeveelheden gegevens”, aldus Wang.
“Hoewel sommige functies deel kunnen uitmaken van een legitieme tool, maakt het gebrek aan transparantie en verdachte functionaliteit het onveilig om uit te voeren. Onderzoek altijd de code voordat u deze uitvoert en vermijd interactie met scripts van niet-geverifieerde bronnen.”