Selon les chercheurs, les acteurs de la menace qui créent des logiciels malveillants Python s’améliorent et leurs charges utiles sont plus difficiles à détecter.
En analysant une charge utile malveillante récemment détectée, JFrog a rapporté comment les attaquants ont utilisé une nouvelle technique – le code anti-débogage – pour rendre plus difficile pour les chercheurs d’analyser les charges utiles et de comprendre la logique derrière le code.
En plus des outils et des techniques d’obfuscation « ordinaires », les pirates à l’origine du package « cookiezlog » ont utilisé un code anti-débogage pour contrecarrer les outils d’analyse dynamique.
Première fois
Selon JFrog, c’est la première fois qu’une telle méthode est repérée dans un logiciel malveillant PyPI.
« La plupart des logiciels malveillants PyPI tentent aujourd’hui d’éviter la détection statique en utilisant diverses techniques : de la manipulation primitive des variables aux techniques sophistiquées d’aplatissement de code et de stéganographie », expliquent les chercheurs dans un article de blog. (s’ouvre dans un nouvel onglet).
« L’utilisation de ces techniques rend le package extrêmement suspect, mais empêche les chercheurs novices de comprendre le fonctionnement exact du logiciel malveillant à l’aide d’outils d’analyse statique. Cependant, tout outil d’analyse dynamique, tel qu’un bac à sable de logiciels malveillants, supprime rapidement les couches de protection statiques des logiciels malveillants et révèle la logique sous-jacente.
Les efforts des pirates informatiques semblent vains, car les chercheurs de JFrog ont réussi à contourner les solutions de contournement et à jeter un coup d’œil directement dans la charge utile. Suite à une analyse, les chercheurs ont décrit la charge utile comme « d’une simplicité décevante » par rapport à l’effort fait pour la garder cachée. C’est toujours dangereux, car cookiezlog est un récupérateur de mots de passe capable de voler les mots de passe « autocomplétés » enregistrés dans les caches de données des navigateurs populaires.
Les renseignements recueillis sont ensuite envoyés aux attaquants via un crochet Discord qui agit comme un serveur de commande et de contrôle.
Malheureusement, JFrog n’a pas révélé le nom du groupe à l’origine du logiciel malveillant, ni les techniques de distribution utilisées pour faire atterrir le récupérateur de mots de passe sur les terminaux des victimes. Quoi qu’il en soit, les nouvelles concernant les logiciels malveillants PyPI sont plus fréquentes, ce qui suggère que les développeurs Python sont devenus une cible majeure.