Фирма FortiGuard Labs использует свою систему обнаружения вредоносных программ OSS, управляемую искусственным интеллектом, для поиска и мониторинга угроз. Используя этот подход, они обнаружили вредоносный PyPI-пакет под названием discordpy_bypass-1.7, который был опубликован 10 марта 2024 г. и обнаружен 12 марта 2024 г.
Этот пакет представляет собой код, который скрывает извлечение конфиденциальной информации из компьютеров пользователей с помощью различных методов. Автор создал несколько версий пакета, включая версии 1.1, 1.2, 1.3, 1.4, 1.5, 1.6 и 1.7. Все эти версии демонстрируют схожее поведение и цель, которая заключается в извлечении данных из систем пользователей.
Код пакета состоит из трех слоев. Оригинальный код на языке Python закодирован с использованием base64. Затем закодированные строки разбиваются на отдельные фрагменты и снова кодируются с использованием методов обфускации. Затем обфусцированный файл компилируется в исполняемый файл, который размещается на удаленном URL. Код из этого URL запускается на устройстве пользователя.
Помимо этого, в коде присутствуют проверки для обнаружения отладочных или аналитических сред, и если они обнаружены, программа завершается. Данные методы обнаружения отладочных сред включают блокирование определенных процессов, проверки сети на наличие блокированных IP-адресов и MAC-адресов, а также проверки системы на наличие заблокированных имен пользователей, имен хостов и идентификаторов оборудования.
Код также инициализирует события Socket.IO для удаленного контроля и мониторинга системы, а также обрабатывает команды, полученные через Socket.IO. Основная цель кода - извлечение информации из браузеров пользователей, включая учетные данные для входа, файлы cookie и историю посещений, а также сбор токенов, включая токены аутентификации Discord.
Indicators of Compromise
SHA256
- 164f75859cbfe3d1dd78304de69d6d969df7f681a93b95162c98644425a9c4d2
- 1ebdd85a61edb7dde0e2ab59eb58325afd271cff3d364be95c142ed6fa312fae
- 21ce98a759d413a94487d76b4a37574787bba4695bde5444909f85c40b6a96dd
- 31c1c3530655fb6da70368fd6c462893ff1b85feda7e5ecbdd9c5ec600e4edb1
- 3428cfe2de2d415fbdb74b6d099af2061b8af2b21c432ed28b95f360090c80a2
- 3818b238229a40c64dd1cf07d064d5f6580d1887113691cdae23b55364ce572e
- 49e74d6ee9ff330db385ac50c398b31ff96bdc88631a3ba4231c9cb11b91f91b
- 6259496c7bf20f7b1cca959cd2807538f7e1f735a5bdef487de31c6f7c535645
- 66776b62992ab3a9801293852113e882822bb12cba4d8e89104aa60fbf83ee6d
- 8fd185a5499d728eef4cd181477b0720a60c8be143ff2628941bb2a5985b1f73
- ba2ceb9b1c6942617e4aaf76f12674acec0f072fde85249ebb7f0255b0681d8a
- d937aaf9f8a35687a5397aa9a657094c53553afba15953bc8c75fc9955a82b4c
- e6ccaa47337109d0bec65c573c9d6956e30c893e6bee5fc3bd6ab19f26ba558d