Le malware Python utilise une nouvelle technique sournoise

Le malware Python utilise une nouvelle technique sournoise

Selon les chercheurs, les acteurs de la menace qui créent des logiciels malveillants Python s'améliorent et leurs charges utiles sont plus difficiles à détecter.

Lors de l'analyse d'une charge utile malveillante récemment détectée, JFrog a rapporté comment les attaquants ont utilisé une nouvelle technique, le code anti-débogage, pour rendre plus difficile pour les chercheurs d'analyser les charges utiles et de comprendre la logique derrière le code.

En plus des outils et techniques d'obscurcissement « ordinaires », les pirates derrière le package « cookiezlog » ont utilisé du code anti-débogage pour contrecarrer les outils d'analyse dynamique.

Première fois

Selon JFrog, c'est la première fois qu'une telle méthode est détectée dans un malware PyPI.

"La majorité des logiciels malveillants PyPI actuels tentent d'éviter la détection statique en utilisant diverses techniques : de la manipulation primitive de variables aux techniques sophistiquées d'aplatissement du code et de stéganographie", expliquent les chercheurs dans un article de blog (s'ouvre dans un nouvel onglet).

"L'utilisation de ces techniques rend le package extrêmement suspect, mais empêche les chercheurs novices de comprendre le fonctionnement exact du malware à l'aide d'outils d'analyse statique. Cependant, tout outil d'analyse dynamique, tel qu'un sandbox de malware, supprime rapidement les couches statiques de protection contre les malware et révèle les logique sous-jacente.

Les efforts des pirates semblent vains puisque les chercheurs de JFrog ont réussi à contourner les solutions de contournement et à observer directement la charge utile. Après analyse, les chercheurs ont décrit la charge utile comme « d’une simplicité décevante » par rapport aux efforts déployés pour la garder cachée. Cela reste dangereux, car cookiezlog est un nettoyeur de mots de passe capable de voler les mots de passe « complétés automatiquement » stockés dans les caches de données des navigateurs populaires.

Les renseignements collectés sont ensuite envoyés aux attaquants via un lien Discord qui agit comme un serveur de commande et de contrôle.

Malheureusement, JFrog n'a pas révélé le nom du groupe à l'origine du malware, ni les techniques de distribution utilisées pour amener le renifleur de mots de passe sur les terminaux des victimes. Quoi qu'il en soit, les nouvelles sur les logiciels malveillants PyPI sont plus fréquentes, ce qui suggère que les développeurs Python sont devenus une cible majeure.