Selon les chercheurs, les acteurs de la menace qui créent des logiciels malveillants Python s'améliorent et leurs charges utiles sont plus difficiles à détecter.
Lors de l'analyse d'une charge utile malveillante récemment détectée, JFrog a rapporté comment les attaquants ont utilisé une nouvelle technique, le code anti-débogage, pour rendre plus difficile pour les chercheurs d'analyser les charges utiles et de comprendre la logique derrière le code.
En plus des outils et techniques d'obscurcissement "ordinaires", les pirates à l'origine du package "cookiezlog" ont utilisé un code anti-débogage pour contrecarrer les outils d'analyse dynamique.
Première fois
Selon JFrog, c'est la première fois qu'une telle méthode est détectée dans un malware PyPI.
"La plupart des logiciels malveillants PyPI actuels tentent d'éviter la détection statique en utilisant une variété de techniques : de la manipulation de variables primitives aux techniques sophistiquées d'aplatissement de code et de stéganographie", expliquent les chercheurs dans un article de blog (ouvre dans un nouvel onglet).
"L'utilisation de ces techniques rend le package extrêmement suspect, mais empêche les chercheurs novices de comprendre le fonctionnement exact du malware à l'aide d'outils d'analyse statique. Cependant, tout outil d'analyse dynamique, tel qu'un bac à sable de logiciels malveillants, supprime rapidement les couches statiques de protection contre les logiciels malveillants et révèle la logique sous-jacente.
Les efforts des pirates semblent vains car les chercheurs de JFrog ont réussi à contourner les solutions de contournement et à observer directement la charge utile. Après analyse, les chercheurs ont décrit la charge utile comme "d'une simplicité décevante" par rapport aux efforts déployés pour la garder cachée. C'est toujours dangereux, car cookiezlog est un nettoyeur de mots de passe capable de voler les mots de passe de "remplissage automatique" stockés dans les caches de données des navigateurs populaires.
Les renseignements collectés sont ensuite envoyés aux attaquants via un lien Discord qui agit comme un serveur de commande et de contrôle.
Malheureusement, JFrog n'a pas révélé le nom du groupe à l'origine du malware, ni les techniques de distribution utilisées pour amener le renifleur de mots de passe sur les terminaux des victimes. Quoi qu'il en soit, les nouvelles sur les logiciels malveillants PyPI sont plus fréquentes, ce qui suggère que les développeurs Python sont devenus une cible majeure.
