Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposuna yüklenen ve güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri sızdırma yetenekleriyle donatılmış iki kötü amaçlı paketi işaretledi. yeni bulgular Fortinet FortiGuard Laboratuvarlarından.
Adı geçen paketler zebo Ve kuyruklu yıldız kaydedicikaldırılmadan önce her biri 118 ve 164 kez indirildi. ClickPy istatistiklerine göre, çoğunluk bunlardan indirmeler Amerika Birleşik Devletleri, Çin, Rusya ve Hindistan’dan geldi.
Güvenlik araştırmacısı Jenna Wang, Zebo’nun “gözetim, veri sızdırma ve yetkisiz kontrol için tasarlanmış işlevlere sahip tipik bir kötü amaçlı yazılım örneği” olduğunu belirterek, kuyruklu yıldız kaydedicinin “aynı zamanda dinamik dosya manipülasyonu, web kancası enjeksiyonu, bilgi çalma gibi kötü niyetli davranış belirtileri gösterdiğini” ekledi. ve anti-[virtual machine] kontrol eder.”
İki paketten ilki olan zebo, HTTP istekleri üzerinden iletişim kurduğu komut ve kontrol (C2) sunucusunun URL’sini gizlemek için altıgen kodlu dizeler gibi gizleme tekniklerini kullanır.
Ayrıca, tuş vuruşlarını yakalamak için pynput kitaplığından yararlanmak ve bunları bir API kullanarak ücretsiz görüntü barındırma hizmeti ImgBB’ye yüklemeden önce her saat başı periyodik olarak ekran görüntüleri almak ve bunları yerel bir klasöre kaydetmek için ImageGrab’den yararlanmak da dahil olmak üzere verileri toplamak için bir dizi özellik içerir. anahtar C2 sunucusundan alındı.
Kötü amaçlı yazılım, hassas verileri dışarı çıkarmanın yanı sıra, Python kodunu başlatan bir toplu komut dosyası oluşturarak ve bunu Windows Başlangıç klasörüne ekleyerek her yeniden başlatma sonrasında otomatik olarak yürütülmesini sağlayarak makinede kalıcılık sağlıyor.
Öte yandan Cometlogger, Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify ve Roblox.
Ayrıca sistem meta verilerini, ağ ve Wi-Fi bilgilerini, çalışan işlemlerin bir listesini ve pano içeriğini toplama yeteneğine de sahiptir. Ayrıca, sanallaştırılmış ortamlarda çalışmayı önlemek için kontroller içerir ve sınırsız dosya erişimini sağlamak için web tarayıcısıyla ilgili işlemleri sonlandırır.
Wang, “Komut dosyası, görevleri eşzamansız olarak yürüterek verimliliği en üst düzeye çıkarıyor ve kısa sürede büyük miktarda veri çalıyor” dedi.
“Bazı özellikler meşru bir aracın parçası olsa da, şeffaflığın olmayışı ve şüpheli işlevsellik, yürütülmesini güvensiz hale getiriyor. Kodu çalıştırmadan önce daima inceleyin ve doğrulanmamış kaynaklardan gelen komut dosyalarıyla etkileşimde bulunmaktan kaçının.”
