Los actores de amenazas que construyen el malware Python están mejorando y sus cargas útiles son más difíciles de detectar, afirman los investigadores.
Al analizar una carga útil maliciosa detectada recientemente, JFrog informó cómo los atacantes usaron una nueva técnica, el código anti-depuración, para dificultar que los investigadores analicen las cargas útiles y comprendan la lógica detrás del código.
Además de las herramientas y técnicas de ofuscación «regulares», los piratas informáticos detrás del paquete «cookiezlog» utilizaron código anti-depuración como una forma de frustrar las herramientas de análisis dinámico.
Primera vez
Según JFrog, esta es la primera vez que se detecta un método de este tipo en cualquier malware PyPI.
“La mayoría del malware PyPI actual intenta evitar la detección estática utilizando varias técnicas: desde la manipulación primitiva de variables hasta técnicas sofisticadas de aplanamiento de código y esteganografía”, explican los investigadores en una publicación de blog. (se abre en una pestaña nueva).
“El uso de estas técnicas hace que el paquete sea extremadamente sospechoso, pero impide que los investigadores novatos comprendan el funcionamiento exacto del malware utilizando herramientas de análisis estáticas. Sin embargo, cualquier herramienta de análisis dinámico, como un sandbox de malware, elimina rápidamente las capas de protección estática del malware y revela la lógica subyacente”.
Los esfuerzos de los piratas informáticos parecen inútiles, ya que los investigadores de JFrog lograron sortear las soluciones alternativas y echar un vistazo directamente a la carga útil. Tras un análisis, los investigadores describieron la carga útil como «decepcionantemente simple» en comparación con el esfuerzo realizado para mantenerla oculta. Sin embargo, sigue siendo dañino, ya que cookiezlog es un capturador de contraseñas capaz de robar contraseñas de «autocompletado» guardadas en cachés de datos de navegadores populares.
La inteligencia recopilada luego se envía a los atacantes a través de un enlace de Discord que actúa como un servidor de comando y control.
Desafortunadamente, JFrog no reveló el nombre del grupo detrás del malware, o las técnicas de distribución utilizadas para aterrizar el capturador de contraseñas en los puntos finales de las víctimas. Independientemente, las noticias sobre el malware PyPI son más frecuentes, lo que sugiere que los desarrolladores de Python se han convertido en un objetivo importante.