botaa3 Malware
Ein weiteres bedrohliches Paket wurde im Python Package Index (PyPI)-Repository entdeckt. Bevor die Bedrohung entfernt wurde, konnte sie rund 130 Downloads verzeichnen. Das Paket erhielt den Namen 'botaa3' in einem schlechten Versuch, den Namen 'boto3' zu imitieren, dem weit verbreiteten Amazon Web Services (AWS) Software Development Kit (SDK) für Python.
Cybersicherheitsexperten analysierten den Code der Bedrohung und entdeckten ihre schändlichen Fähigkeiten. Das botaa3-Paket, wenn erfolgreich eingesetzt, würde den Angreifern die Möglichkeit geben, beliebigen Code auf dem angegriffenen System auszuführen und so effektiv die Kontrolle darüber zu übernehmen.
Technische Details
Das botaa3-Paket wies mehrere Verschleierungsebenen mit Base64-Codierung und bitweiser XOR-Verschlüsselung auf. Darüber hinaus trägt es auch den gesamten Code des legitimen boto3-Pakets. Tatsächlich installiert die Bedrohung boto3 als Teil ihrer Aktionen, um weiter keinen Verdacht zu erregen. Im Code vergraben ist auch ein 'KillDate', das auf den 17. November 2020 gesetzt wird. Nach diesem Datum wird das botaa3-Paket nicht mehr betriebsbereit sein.
Bedrohungspotenziale
Eine der ersten Aktionen der Malware ist die Überprüfung mit ihrem Command-and-Control-Server (C2, C&C). Während dieses Schritts exfiltriert botaa3 verschiedene Informationen aus dem System des Opfers. Die Daten umfassen die IP-Adresse, Betriebssystem- und Architekturdetails, Kontoanmeldeinformationen, Hostname, FQDN (vollständig qualifizierter Domänenname) und mehr.
Danach wartet botaa3 auf eingehende Befehle. Die Bedrohungsakteure können Dateien sammeln oder zusätzliche herunterladen, das Dateisystem manipulieren (Dateien und Ordner löschen), Reverse Shells öffnen, zusätzliche Python-Module und -Skripte laden usw. Die Angreifer können auch die Malware anweisen, ihre Aktivitäten zu stoppen und ruhend zu legen.
Nachdem das PyPI-Sicherheitsteam über das Vorhandensein der botaa3-Bedrohung informiert wurde, handelte es fast sofort und entfernte das bedrohliche Paket.
