El malware de Python utiliza una nueva técnica astuta

El malware de Python utiliza una nueva técnica astuta

Según los investigadores, los actores de amenazas que crean malware de Python están mejorando y sus cargas útiles son más difíciles de detectar.

Mientras analizaba una carga útil maliciosa detectada recientemente, JFrog informó cómo los atacantes usaron una nueva técnica, el código anti-depuración, para dificultar que los investigadores analicen las cargas útiles y comprendan la lógica detrás del código.

Además de las herramientas y técnicas de ofuscación "ordinarias", los piratas informáticos detrás del paquete "cookiezlog" utilizaron código anti-depuración para frustrar las herramientas de análisis dinámico.

Primera vez

Según JFrog, esta es la primera vez que se detecta un método de este tipo en el malware PyPI.

"La mayoría del malware PyPI actual intenta evitar la detección estática utilizando una variedad de técnicas: desde la manipulación de variables primitivas hasta técnicas sofisticadas de aplanamiento de código y esteganografía", explican los investigadores en una publicación de blog (se abre en una nueva pestaña).

"El uso de estas técnicas hace que el paquete sea extremadamente sospechoso, pero impide que los investigadores novatos entiendan el funcionamiento exacto del malware utilizando herramientas de análisis estático. Sin embargo, cualquier herramienta de análisis dinámico, como un entorno limitado de malware, elimina rápidamente las capas estáticas de protección contra malware y revela el lógica subyacente.

Los esfuerzos de los piratas informáticos parecen inútiles, ya que los investigadores de JFrog lograron eludir las soluciones alternativas y observar directamente la carga útil. Tras un análisis, los investigadores describieron la carga útil como "decepcionantemente simple" en comparación con el esfuerzo realizado para mantenerla oculta. Esto sigue siendo peligroso, porque cookiezlog es un limpiador de contraseñas capaz de robar contraseñas "autocompletadas" almacenadas en las memorias caché de datos de los navegadores populares.

La inteligencia recopilada luego se envía a los atacantes a través de un enlace Discord que actúa como un servidor de comando y control.

Desafortunadamente, JFrog no reveló el nombre del grupo detrás del malware, ni las técnicas de distribución utilizadas para llevar el detector de contraseñas a los terminales de las víctimas. De cualquier manera, las noticias sobre el malware PyPI son más frecuentes, lo que sugiere que los desarrolladores de Python se han convertido en un objetivo importante.