Especialistas en seguridad de la firma JFrog han informado de un descubrimiento de 11 paquetes maliciosos de Python en el repositorio Python Package Index (PyPI, que es el repositorio de software oficial para aplicaciones de terceros en el lenguaje de programación Python), aparentemente diseñados para el robo de tokens de acceso a plataformas como Discord. TGambién se ha visto que puede interceptar contraseñas y desplegar ataques de sustitución.
Los nombres de los paquetes encontrados son importantpackage / important-package, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10/10Cent11, yandex-yt y yiffpartylos. Quienes han descubierto estos problemas advierten «importantpackage» de que abusa de la terminación TLS CDN para el robo de datos, además de utilizar Fastly CDN para ocultar las comunicaciones maliciosas con el servidor C&C.
Ransomware: qué es, cómo infecta y cómo protegerse
Diferentes técnicas de ataque
Otra técnica que utilizan algunos de estos paquetes maliciosos de Python para evadir la detección basada en la red es utilizar la red de entrega de contenidos (CDN) Fastly para disfrazar las comunicaciones con el servidor C2 como una comunicación con pypi.org.
Los atacantes también están utilizando el framework TrevorC2 para implementar ciertos comandos a escondidas. Según las palabras del «Utilizando este framework, el cliente se pone en contacto con el servidor de forma similar a como lo haría navegando de forma normal por un sitio web, lo que hace que el tráfico sea aún más oscuro». Con esta técnica, el usuario envía peticiones ocultando la carga útil en peticiones HTTP GET típicas.
Otro tipo popular de evasión de la red utilizado por los desarrolladores de malware es el túnel DNS. «Aunque no es una técnica nueva, es la primera vez que vemos este método de evasión utilizado en paquetes maliciosos subidos a PyPI», han dicho desde la empresa que ha descubierto estos ataques que usan Python. Como se deduce de su nombre, esta técnica utiliza las peticiones DNS como canal de comunicación entre la máquina víctima y el servidor C2.
Fuente: genbeta.com