Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
31.01.2024

WhiteSnake: вредоносное ПО, способное управлять вашим компьютером через Tor

Команда Fortinet FortiGuard Labs обнаружила в репозитории Python Package Index ( PyPI ) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer.

Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены злоумышленником по имени «WS». Пакеты включают в свои файлы setup.py исходный код PE (Portable Executable) или других скриптов Python в кодировке Base64. Этот код активируется при установке пакетов на компьютерах пользователей.

На системах Windows вирус WhiteSnake Stealer крадет информацию, а на Linux-системах — запускает Python-скрипт для сбора данных. Атака в первую очередь направлена на пользователей Windows и связана с кампанией, о которой ранее сообщали JFrog и Checkmarx .

Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с сервером управления и контроля (Command and Control, C2 ) по протоколу Tor , а также способно красть информацию у жертвы и выполнять команды.

WhiteSnake Stealer также собирает данные из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.

Checkmarx приписывает кампанию субъекту угрозы под псевдонимом PYTA31, заявляя, что конечной целью злоумышленника является эксфильтрация конфиденциальных данных с целевых машин.

Некоторые из вредоносных пакетов включают в себя функцию клиппера , позволяющую заменять содержимое буфера обмена на адреса кошельков злоумышленников для осуществления несанкционированных транзакций. Другие пакеты нацелены на кражу данных из браузеров, приложений и криптосервисов.

Fortinet подчеркивает, что эта находка демонстрирует способность одного автора вредоносного ПО распространять множество пакетов для кражи информации в библиотеке PyPI, каждый из которых имеет свои уникальные особенности.