Paquetes maliciosos en el repositorio PyPI

Se han descubierto varios paquetes maliciosos de código abierto en el popular repositorio PyPI que utilizan técnicas novedosas para pasar desapercibidos.

RepositorioPyPI

PyPI (Python Package Index) es el repositorio de software oficial para aplicaciones de terceros en el lenguaje de programación Python en el que miles de programadores publican sus desarrollos. Sin embargo los desarrolladores de malware también aprovechan esta plataforma para conseguir sus objetivos.

El equipo de investigación de JFrog Security ha descubierto hasta 11 nuevos paquetes maliciosos alojados en PyPI, con más de 40.000 descargas en total. Sus autores utilizaron varias técnicas avanzadas para evitar la detección y permanecer en el repositorio para infectar tantas máquinas como fuese posible.

Listado de paquetes maliciosos. Fuente: jfrog.com
Entre las técnicas utilizadas se incluyen:

El uso de Fastly CDN para simular que el tráfico enviado al servidor de comando y control (C2) es una comunicación legítima con pypi.org.

Utilizar el framework TrevorC2 para enmascarar las comunicaciones entre cliente y servidor haciendo resulten similares a las de una navegación normal por un sitio web, enviando las solicitudes a intervalos aleatorios y ocultando la carga útil maliciosa (el «payload») en solicitudes HTTP GET de aspecto normal.
La utilización de solicitudes DNS como canal de comunicación entre la máquina víctima y el servidor C2, aprovechando que normalmente estas peticiones no son inspeccionadas por herramientas de seguridad. Cuando un servidor DNS recibe una petición, busca en sus registros la dirección IP correspondiente al nombre de dominio solicitado y, si no la encuentra, envía la solicitud al primer nombre de dominio conocido de la dirección. Es decir que si la petición es del tipo payload.dominiomalicioso.com, como el servidor DNS legítimo que recibe la petición no conoce la resolución de dicha dirección, se la reenviará a dominiomalicioso.com y este sabrá que la cadena usada como subdominio es el payload.
La división de los paquetes maliciosos en dos partes: siendo una de ellas el elemento malicioso y el otro un paquete «legítimo» que simplemente especifica el paquete malicioso que se va a importar. Desde este último, se realizaría la instalación del paquete malicioso mediante «typosquatting» (paquetes cuyos nombres son errores tipográficos de paquetes populares) o «confusión de dependencias» (paquetes maliciosos con el nombre de paquetes privados legítimos con una versión superior subidos a repositorios públicos, de manera que obliga al administrador de paquetes a descargar e instalar el módulo malicioso).
Según declaraciones de los investigadores de seguridad, estos paquetes no destacan por su peligrosidad, sino que lo que resulta notable es el creciente nivel de sofisticación con el que se han desarrollado.

Cabe destacar que los administradores del repositorio PyPI han eliminado los paquetes maliciosos tras recibir el informe.

Más información:
Python Malware Imitates Signed PyPI Traffic in Novel Exfiltration Technique

Python Malware Imitates Signed PyPI Traffic in Novel Exfiltration Technique

La entrada Paquetes maliciosos en el repositorio PyPI se publicó primero en Una al Día.

Robo del código de autenticación (2FA) mediante bots de voz

Los cibercriminales no dejan de buscar nuevas vías para cometer sus crímenes, haciendo gala de un incuestionable ingenio, mediante el uso de ingeniería social y las nuevas tecnologías, por lo que mediante esta modalidad de estafa, consiguen obtener el código de verificación, conocido como doble factor de autenticación (2FA), o verificación en dos pasos. Consiguiendo, de este modo, acceder a las cuentas de usuarios de servicios tales como CoinBase, Paypal, Amazon entre otros.

How to Implement Voice Bots for Better Customer Support
Bien es sabido que muchas compañías utilizan bots para prestar servicios de atención al cliente, donde la falta de personalización por parte de estos, nos puede resultar tan común y familiar que es difícil no ser víctimas de esta estafa si no tenemos los suficientes conocimientos o, mejor dicho, buenos hábitos de seguridad que nos hagan sospechar al respecto.

Para que la ejecución tenga éxito, los ciberdelincuentes deberán tener una lista o base de datos con el email y contraseña de dichos usuarios. Esta parte, aunque parezca que es la parte más compleja del plan, suele resultar, sorprendentemente, la parte más sencilla del acto; ya que debemos de recordar que cuando un servicio o compañía sufre una brecha de datos, estos datos son publicados (incluso de manera gratuita) o puestos a la venta en foros underground, donde se exponen datos personales de los usuarios. Véanse los recientes casos de filtraciones de famosas plataformas como Twitch o la archiconocida plataforma de Trading RobinHood, donde se expuso los datos de más de 7 Millones de usuarios.

Una vez los cibercriminales cuentan con estos datos, es hora de desplegar la artillería, en este caso, a través de bots que pueden adquirirse desde los 100$ hasta los 1000$ por suscripción.

El siguiente paso es tan sencillo como lógico. Consiste en ingresar el número de teléfono de la víctima junto a un comando y el nombre del servicio que quiera suplantar, El bot realiza una llamada a la víctima haciéndose pasar por el susodicho servicio o compañía, mediante la excusa de que hubo un movimiento sospechoso u otro pretexto. Para ello hace creer a la víctima que deberá verificar su identidad ingresando un código que recibirá en su teléfono (2FA), y es en el momento de ingresar dicho código que, de manera automática, el
A continuación presentamos un vídeo donde un usuario con el nombre de Metamask Giveaways nos muestra en vivo y paso a paso este ataque.

Para evitar ser víctimas de estas estafas, desde Hispasec insistimos en qué sospechen siempre que reciban un SMS, email o llamada de este tipo, ya que ninguna entidad le solicitará estos datos por estos medios sin que haya sido usted quién lo haya solicitado.

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies