botaa3 Malware

botaa3 Malware

Se descubrió otro paquete amenazante en el repositorio del índice de paquetes de Python (PyPI). Antes de que fuera eliminada, la amenaza había logrado acumular alrededor de 130 descargas. El paquete se denominó 'botaa3' en un pobre intento de imitar el nombre 'boto3', el popular kit de desarrollo de software (SDK) de Amazon Web Services (AWS) para Python.

Los expertos en ciberseguridad analizaron el código de la amenaza y descubrieron sus nefastas capacidades. El paquete botaa3, siimplementado con éxito, proporcionaría a los atacantes la capacidad de ejecutar código arbitrario en el sistema violado, tomando efectivamente el control sobre él.

Detalles técnicos

El paquete botaa3 presentaba varios niveles de ofuscación utilizando codificación base64 y cifrado XOR bit a bit. Además, también incluye el código completo del paquete boto3 legítimo. De hecho, la amenaza instala boto3 como parte de sus acciones, en un intento de evitar aún más suscitar sospechas. Enterrado en el código también hay un 'KillDate' establecido el 17 de noviembre de 2020. Después de esta fecha, el paquete botaa3 ya no estará operativo.

Capacidades amenazantes

Una de las primeras acciones tomadas por el malware es verificar con su servidor de Comando y Control (C2, C&C). Durante este paso, botaa3 exfiltra diversa información extraída del sistema de la víctima. Los datos incluyen la dirección IP, el sistema operativo y los detalles de la arquitectura, las credenciales de la cuenta, el nombre de host, el FQDN (nombre de dominio completo) y más.

Posteriormente, botaa3 esperará los comandos entrantes. Los actores de amenazas pueden recopilar archivos o descargar archivos adicionales, manipular el sistema de archivos (eliminar archivos y carpetas), abrir shells inversos, cargar módulos y scripts de Python adicionales, etc. Los atacantes también pueden indicarle al malware que detenga sus actividades y lance latente.

Después de ser notificado de la presencia de la amenaza botaa3, el equipo de seguridad de PyPI tomó medidas casi de inmediato y eliminó el paquete amenazante.

Tendencias

Mas Visto

Cargando...