Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Эксперты ReversingLabs обнаружили в PyPI зловреда, замаскированного под комплект разработчика (SDK) от SentinelOne. Как оказалось, вредоносный пакет действительно облегчает доступ к API ИБ-компании, но при этом содержит бэкдор, ворующий конфиденциальные данные из систем разработчиков.

Фальшивка, явно созданная для атаки на цепочку поставок, была загружена в публичный репозиторий 11 декабря из-под аккаунта возрастом меньше недели. В течение двух следующих дней автор вредоносного проекта выпустил 20 обновлений. Согласно статистике PyPI, забэкдоренный софт, заимствующий известное имя, скачали более 1000 раз до того, как он был изъят из загрузок.

 

Проведенный в ReversingLabs анализ показал, что поддельная библиотека представляет собой полнофункциональный клиент SentinelOne, но содержит также два дополнительных файла api.py. Эти довески активируются только при вызове связанного зависимостью компонента и демонстрируют подозрительное поведение — перечисляют файлы в папках, удаляют файлы и папки, создают новый процесс, подключаются к удаленному серверу по IP-адресу (54[.]254.189.27).

Добавленный бэкдор предназначен в основном для эксфильтрации данных среды разработки. С этой целью вредонос ворует историю выполнения шелл-команд и содержимое папки SSH — сохраненные ключи и конфигурационные данные, в том числе учетки и секреты для получения доступа к Git, Kubernetes и AWS. Собранная информация вместе с листингом корневого каталога отсылается на C2-сервер.

Разбор многочисленных апдейтов фейкового пакета показал, что вирусописатель совершенствовал функциональность сбора данных на различных платформах. Первоначальный вариант бэкдора не учитывал особенности ОС, под которой запущен, и Linux-версия алгоритма работала некорректно.

В рамках данной вредоносной кампании, которую исследователи нарекли SentinelSneak, были также опубликованы пять пакетов без вредоносных api.py — по всей видимости, тестовые образцы. Их загрузили на PyPI в период с 8 по 11 декабря.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишинговая схема Darcula атакует iPhone через iMessage, Android — через RCS

«Darcula» — новая киберугроза, которая распространяется по схеме «фишинг как услуга» (phishing-as-a-service, PhaaS) и использует 20 тысяч доменов для подделки брендов и кражи учётных данных пользователей Android-смартфонов и iPhone.

Компании Darcula распространились более чем на 100 стран, атакуются организации из финансовых, государственных, налоговых секторов, а также телекоммуникационные и авиакомпании.

Начинающим и продвинутым кибермошенникам предлагают на выбор более 200 шаблонов сообщений. Отличительная особенность Darcula — использование протокола Rich Communication Services (RCS) для Google Messages (при атаках на Android) и iMessage (для атак на iPhone). Таким образом, в схеме не участвует СМС.

На Darcula первым обратил внимание специалист Netcraft Ошри Калон. Как отмечал исследователь, платформа используется для сложных фишинговых атак. Операторы задействуют JavaScript, React, Docker и Harbor для постоянного обновления, добавляя набору новые функциональные возможности.

Злоумышленники выбирают узнаваемые бренды, после чего маскируют веб-ресурсы под официальные сайты этих корпораций. Посадочные страницы, как правило, выглядят так:

 

Для отправки фишинговых URL киберпреступники отказались от стандартных СМС-сообщений и стали использовать вместо них более продвинутые RCS (Android) и iMessage (iOS).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru