Вредоносные пакеты PyPi устраивают DDoS-атаки на серверы Counter Strike 1.6

Checkmarx Counter Strike PyPI вредоносное ПО тайпсквоттинг
Для распространения 12 вредоносных пакетов использовался тайпсквоттинг.

Вредоносные пакеты PyPi устраивают DDoS-атаки на серверы Counter Strike 1.6

12 вредоносных пакетов, загруженных пользователем под ником “devfather777” были обнаружены в репозитории PyPi аналитиками Checkmarx . Для их распространения использовался тайпсквоттинг, т.е. вредоносный пакет загружался на устройство разработчика, если он допустил опечатку в названии легитимного пакета. Например, Gesnim вместо Gensim или TensorFolw вместо TensorFlow.
Полный список вредоносных библиотек выглядит следующим образом:
• Gesnim;
• Kears;
• TensorFolw;
• Seabron;
• tqmd;
• lxlm;
• mokc;
• ipaddres;
• ipdress;
• Fflsk;
• douctils;
• inda.
После того, как пакет оказывался на компьютере разработчика, запускался встроенный в setup.py код, который проверял, является ли хост Windows-системой. Если ответ был положительным, setup.py загружал полезную нагрузку (test.exe) с GitHub.

Код, вшитый в setup.py
При сканировании на VirusTotal только 11 из 69 антивирусных систем пометили test.exe как вредоносный, из чего можно сделать вывод, что это относительно новый и скрытный вредонос, написанный на C++.
Оказавшись в системе жертвы, test.exe устанавливается и закрепляется в системе, прописываясь в автозагрузку, а также внедряет общесистемный root-сертификат с истекшим сроком действия. Затем вредонос подключается к жестко заданному URL-адресу, чтобы получить свою конфигурацию. Если это не удается с третьей попытки, он ищет ответы на HTTP-запросы, отправленные на DGA-адреса.
В случае, который наблюдали аналитики Checkmarx, конфигурация заставляла вредоноса превратить зараженное устройство в DDoS-бота, который начинал атаковать российский сервер Counter Strike 1.6. По мнению специалистов, цель разработчика этих вредоносных пакетов заключалась в том, чтобы вывести из строя чей-то сервер Counter Strike , заразив такое количество устройств, чтобы отправляемый трафик перегрузил сервер.
На данный момент репозиторий GitHub, который использовался для размещения вредоноса, был удален, однако злоумышленник все еще имеет возможность продолжить свою вредоносную кампанию, просто воспользовавшись другим файлообменником.

SECURITYLAB.RU

Источник