已有數千人中招!Pyobfgood偽裝成一款合法的混淆工具攻擊開發者的機器
據安全公司 Checkmarx報道,自 1 月份以來,八個獨立的開發人員工具包含具有各種惡意功能的隱藏有效負載。最新版本于上個月發布,名稱為“pyobfgood”。與之前的七個軟件包一樣,pyobfgood 也是一個合法的混淆工具,開發人員可以用它來阻止逆向工程和篡改他們的代碼。一旦執行,它就會安裝一個有效負載,使攻擊者幾乎完全控制開發人員的機器。能力包括:
輸入您的電子郵件以獲取 Ars Technica 時事通訊
加入 Ars Technica 并
獲取我們最好的技術故事
直接發送到您的收件箱。
注冊我
注冊即表示您同意我們的用戶協議(包括集體訴訟豁免和仲裁條款)、我們的隱私政策和 cookie 聲明,并同意接收來自 Ars Technica 的營銷和帳戶相關電子郵件。您可以隨時取消訂閱。
- 泄露詳細的主機信息
- 從 Chrome 網絡瀏覽器竊取密碼
- 設置鍵盤記錄器
- 從受害者系統下載文件
- 捕獲屏幕截圖并錄制屏幕和音頻
- 通過提高 CPU 使用率、在啟動目錄中插入批處理腳本來關閉 PC 或使用 Python 腳本強制出現 BSOD 錯誤,使計算機無法運行
- 加密文件,可能會勒索贖金
- 停用 Windows Defender 和任務管理器
- 在受感染主機上執行任意命令
pyobfgood 和之前的七個工具總共安裝了 2,348 次。他們的目標是使用 Python 編程語言的開發人員。作為混淆器,這些工具針對 Python 開發人員,有理由對其代碼保密,因為它具有隱藏功能、商業秘密或其他敏感功能。惡意負載因工具而異,但它們的侵入程度都非常出色。
“我們檢查的各種軟件包表現出一系列惡意行為,其中一些類似于‘pyobfgood’軟件包中發現的行為,”Checkmarx 安全研究員 Yehuda Gelb 在一封電子郵件中寫道。“但是,它們的功能并不完全相同。許多都有相似之處,例如能夠從外部來源下載其他惡意軟件并竊取數據。”
所有八個工具都使用字符串“pyobf”作為前五個字符,試圖模仿真正的混淆器工具,例如 pyobf2 和 pyobfuscator。其他七個包是:
- pyobtoexe
- Pyobfus文件
- pyobf執行
- 膿毒癥溢價
- pyobflight
- 皮奧布凡斯
- 皮奧布斯
雖然 Checkmarx 主要關注 pyobfgood,但該公司為所有八個產品提供了發布時間表。
Pyobfgood 安裝了與使用以下字符串標識的 Discord 服務器一起使用的機器人功能:
MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo
沒有跡象表明受感染的計算機有任何問題。然而,在幕后,惡意負載不僅侵入開發人員的一些最私密的時刻,同時還在源代碼注釋中無聲地嘲笑開發人員。檢查馬克思解釋說:
Discord 機器人包含一個控制計算機攝像頭的特定命令。它通過從遠程服務器謹慎地下載 zip 文件、提取其內容并運行名為 WebCamImageSave.exe 的應用程序來實現此目的。這使得機器人可以使用網絡攝像頭秘密拍攝照片。然后,生成的圖像會被發送回 Discord 頻道,刪除下載的文件后不會留下任何其存在的證據。
在這些惡意功能中,機器人的惡意幽默是通過嘲笑受感染機器即將遭到破壞的消息來體現的。“你的計算機將開始燃燒,祝你好運。:)”和“你的計算機現在就要死機了,祝你好運把它找回來:)”
但是,嘿,至少這些消息的末尾有一個笑臉。
這些消息不僅凸顯了攻擊者的惡意意圖,還凸顯了攻擊者的大膽。
該軟件包的下載量主要來自美國(62%),其次是中國(12%)和俄羅斯(6%)。Checkmarx 研究人員寫道:“按理說,從事代碼混淆的開發人員可能會處理有價值且敏感的信息,因此,對于黑客來說,這轉化為值得追求的目標。”
