PyPi-Malware attackiert Discord und Roblox

Die Sicherheitsforscher von Snyk überwachen Open-Source-Ökosysteme kontinuierlich auf bösartige Pakete und nutzen statische Analysetechniken, um verdächtige Pakete zu identifizieren und zu kennzeichnen. Jedes bösartige Paket wird bei der Veröffentlichung im Paketmanager identifiziert und schnell zur Snyk-Schwachstellendatenbank hinzugefügt.

Bei seinen jüngsten Untersuchungen fand das Team 12 einzelne Malware-Pakete, die demselben Akteur gehören. Diese bösartigen Pakete versuchten, der Entdeckung zu entgehen, indem sie Windows-Rechner infiltrierten und bösartige ausführbare Dateien ausführten, die vom Discord Content Delivery Network (CDN) – einer sehr beliebten Online-Chat-Anwendung – auf den Host heruntergeladen wurden.

Diese Pakete nutzten PyInstaller, um eine bösartige Anwendung und ihre Abhängigkeiten in einem Paket zu bündeln. PyInstaller verfolgt hier einen doppelten Zweck: Er soll die Erkennung verhindern, indem er die Abhängigkeiten bündelt, anstatt sie von einem Remote-Server auf den Host herunterzuladen, und eine ausführbare Datei bereitstellen, die ohne Interpreter ausgeführt werden kann.

Diese Malware zielt auf Daten ab, die für alltägliche Benutzeranwendungen gespeichert sind. Bei der Ausführung versucht sie, Google Chrome-Daten (Passwörter, Cookies, Webprotokoll, Suchverlauf und Lesezeichen) zu stehlen. Diese Daten sind ein häufiges Ziel für böswillige Akteure, da sie diese Daten dann verwenden können, um sich mit den angegebenen Anmeldeinformationen durch Ihre Konten zu bewegen.

Auch die beliebte Online-Chat-Anwendung Discord ist ein Ziel. Die Malware exfiltriert Discord-Tokens und injiziert dabei einen persistenten Schadcode. Dieser Schadcode, der als Discord Injector bekannt ist, kann eine alarmierende Menge an Informationen an den Angreifer weitergeben. Er gibt nicht nur Ihre Anmeldedaten weiter, sondern kann auch Ihre Kreditkarteninformationen abgreifen, wenn Sie diese nach dem Laden des Injectors eingeben.

Ein weiterer interessanter Aspekt dieser Malware ist, dass sie tatsächlich Discord-Ressourcen zur Verteilung ausführbarer Dateien nutzt. Diese Praxis ist zwar nicht neu, aber der Hinweis auf cdn.discord.com hat die Sicherheitsforscher auf den Plan gerufen. Die Binärdateien werden über das Discord CDN auf den Host heruntergeladen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

9 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

9 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

16 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago