Κυβερνοεγκληματίες καταχρώνται το Stack Overflow, απαντώντας σε ερωτήσεις χρηστών και προωθώντας ένα κακόβουλο πακέτο PyPi, που εγκαθιστά info-stealer malware (malware κλοπής δεδομένων) σε συστήματα Windows.
Ο ερευνητής της Sonatype, Ax Sharma, ανακάλυψε ότι αυτό το κακόβουλο πακέτο PyPi είναι μέρος μιας παλαιότερης καμπάνιας (Cool package), που είχε στοχεύσει χρήστες Windows πέρυσι.
Το νέο πακέτο – malware ονομάζεται «pytoileur» και μεταφορτώθηκε στο PyPi repository το Σαββατοκύριακο, υποστηρίζοντας ότι ήταν ένα εργαλείο διαχείρισης API.
Τα κακόβουλα packages, όπως αυτό, συνήθως προωθούνται χρησιμοποιώντας ονόματα παρόμοια με άλλα δημοφιλή πακέτα. Αυτή η τεχνική ονομάζεται typo-squatting.
Δείτε επίσης: Νέο malware στοχεύει ATM στην Ευρώπη
Ωστόσο, στη συγκεκριμένη περίπτωση, οι κυβερνοεγκληματίες ακολούθησαν μια νέα προσέγγιση, απαντώντας σε ερωτήσεις σχετικά με το Stack Overflow και προωθώντας το πακέτο – malware ως λύση.
Καθώς το Stack Overflow είναι μια δημοφιλής πλατφόρμα για προγραμματιστές, όπου γίνονται πολλές ερωτήσεις και λύνονται διάφορα θέματα, οι κυβερνοεγκληματίες βρήκαν την ευκαιρία να το εκμεταλλευτούν για να διαδώσουν malware κάνοντάς το να φαίνεται σαν programming interfaces ή libraries.
“Περαιτέρω παρατηρήσαμε ότι ένας λογαριασμός StackOverflow, “EstAYA G”, που δημιουργήθηκε πριν από περίπου 2 ημέρες εκμεταλλεύεται τώρα τα μέλη της κοινότητας της πλατφόρμας που αναζητούν βοήθεια για τον εντοπισμό σφαλμάτων, κατευθύνοντάς τους να εγκαταστήσουν αυτό το κακόβουλο πακέτο ως “λύση” στο πρόβλημά τους παρόλο που η «λύση» δεν σχετίζεται με τις ερωτήσεις που δημοσιεύονται από τους προγραμματιστές“, εξήγησε ο Sharma στην αναφορά της Sonatype.
Το πακέτο pytoileur περιέχει ένα αρχείο ‘setup.py‘ που συμπληρώνει μια κωδικοποιημένη εντολή base64 για να εκτελεστεί με κενά, ώστε να είναι κρυφή (εκτός εάν ενεργοποιηθεί αναδίπλωση λέξεων στο πρόγραμμα επεξεργασίας αρχείων IDE ή κειμένου).
Η εντολή θα κατεβάσει ένα εκτελέσιμο αρχείο με το όνομα «runtime.exe» από μια απομακρυσμένη τοποθεσία και θα το εκτελέσει.
Δείτε επίσης: Transparent Tribe: Αναπτύσσει Python, Golang και Rust malware σε ινδικούς στόχους
Αυτό το εκτελέσιμο αρχείο είναι στην πραγματικότητα ένα πρόγραμμα Python που μετατρέπεται σε .exe και λειτουργεί ως info-stealer malware για την κλοπή cookies, κωδικών πρόσβασης, ιστορικού προγράμματος περιήγησης, πιστωτικών καρτών και άλλων δεδομένων.
Όλες αυτές οι πληροφορίες αποστέλλονται τους κυβερνοεγκληματίες. Αυτοί μπορούν να τις χρησιμοποιήσουν για την πραγματοποίηση πρόσθετων επιθέσεων ή να τις πουλήσουν σε άλλους hackers.
Έχουμε δει πολλές φορές να χρησιμοποιούνται κακόβουλα PyPi packages στα πλαίσια malware εκστρατειών, αλλά αυτή η προσέγγιση των κυβερνοεγκληματιών, όπου απαντούν στο Stack Overflow για να προσφέρουν υποτιθέμενες λύσεις, είναι πολύ ενδιαφέρουσα προσέγγιση.
Ένας από τους κύριους λόγους για τους οποίους οι hackers μπορούν να κάνουν κατάχρηση του Stack Overflow με αυτόν τον τρόπο, είναι ο ανοιχτός χαρακτήρας του. Οποιοσδήποτε μπορεί να δημιουργήσει έναν λογαριασμό και να δημοσιεύσει ερωτήσεις ή απαντήσεις, διευκολύνοντας τους κακόβουλους παράγοντες να ενωθούν και να διαδώσουν το κακόβουλο λογισμικό τους.
Επιπλέον, η μεγάλη κοινότητα στο Stack Overflow σημαίνει ότι υπάρχει πάντα ένας σημαντικός αριθμός χρηστών στο διαδίκτυο, αυξάνοντας τις πιθανότητες να πέσει κάποιος θύμα αυτών των επιθέσεων.
Για να προστατευθούν από αυτές τις επιθέσεις, οι χρήστες θα πρέπει να είναι προσεκτικοί κατά την εκτέλεση κώδικα ή την εγκατάσταση πακέτων στο Stack Overflow. Θα πρέπει να εξετάσουν διεξοδικά τον κώδικα και να ερευνήσουν το πακέτο προτού το εμπιστευτούν. Επιπλέον, οι χρήστες μπορούν επίσης να ενεργοποιήσουν αυστηρές ρυθμίσεις ασφαλείας στα προγράμματα περιήγησής τους για να αποτρέψουν τυχόν κακόβουλες λήψεις.
Δείτε επίσης: Το CERT-UA προειδοποίησε για καμπάνια malware από την UAC-0006
Συμπερασματικά, η κατάχρηση του Stack Overflow από εγκληματίες του κυβερνοχώρου για τη διάδοση malware είναι μια ανησυχητική τάση. Υπογραμμίζει την ανάγκη για τους χρήστες να είναι προσεκτικοί κατά τη χρήση διαδικτυακών πλατφορμών, ακόμη και εκείνων που θεωρούνται αξιόπιστες και νόμιμες. Τονίζει επίσης τη σημασία της ενημέρωσης σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο και την εφαρμογή των απαραίτητων προφυλάξεων για την προστασία από τέτοιες επιθέσεις.
Πηγή: www.bleepingcomputer.com
