Bedrohungsakteure, die Python-Malware erstellen, werden immer besser und ihre Payloads sind schwerer zu erkennen, haben Forscher behauptet.
Bei der Analyse einer kürzlich entdeckten bösartigen Payload berichtete JFrog, wie die Angreifer eine neue Technik – Anti-Debugging-Code – verwendeten, um es den Forschern zu erschweren, die Payloads zu analysieren und die Logik hinter dem Code zu verstehen.
Zusätzlich zu „normalen“ Verschleierungstools und -techniken verwendeten die Hacker hinter dem „cookiezlog“-Paket Anti-Debugging-Code, um dynamische Analysetools zu vereiteln.
Erstes Mal
Laut JFrog ist dies das erste Mal, dass eine solche Methode in einer PyPI-Malware entdeckt wurde.
„Die meisten PyPI-Malware versuchen heute, die statische Erkennung mit verschiedenen Techniken zu vermeiden: angefangen von primitivem Variablen-Mangling bis hin zu ausgeklügelten Code-Flattening- und Steganographie-Techniken“, erklären die Forscher in a Blogeintrag (öffnet in neuem Tab).
„Die Verwendung dieser Techniken macht das Paket äußerst verdächtig, aber es hindert unerfahrene Forscher daran, die genaue Funktionsweise der Malware mit statischen Analysetools zu verstehen. Allerdings – jedes dynamische Analysetool, wie beispielsweise eine Malware-Sandbox, entfernt schnell die statischen Schutzschichten der Malware und enthüllt die zugrunde liegende Logik.“
Die Bemühungen der Hacker scheinen vergeblich, da es den Forschern von JFrog gelang, die Problemumgehungen zu umgehen und direkt in die Nutzlast zu blicken. Nach einer Analyse beschrieben die Forscher die Nutzlast als „enttäuschend einfach“ im Vergleich zu dem Aufwand, der unternommen wurde, um sie verborgen zu halten. Es ist jedoch immer noch schädlich, da cookiezlog ein Passwort-Grabber ist, der in der Lage ist, „autocomplete“-Passwörter zu stehlen, die in Daten-Caches gängiger Browser gespeichert sind.
Die gesammelten Informationen werden dann über einen Discord-Hook, der als Command & Control-Server fungiert, an die Angreifer gesendet.
Leider hat JFrog weder den Namen der Gruppe hinter der Malware noch die Verbreitungstechniken preisgegeben, die verwendet wurden, um den Passwort-Grabber auf den Endpunkten der Opfer zu landen. Unabhängig davon gibt es häufiger Nachrichten über PyPI-Malware, was darauf hindeutet, dass Python-Entwickler zu einem Hauptziel geworden sind.