- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
При установке вредоносный пакет запускает PowerShell-скрипт, который извлекает ZIP-архив и устанавливает инвазивные зависимости: pynput, pydirectinput и pyscreenshot. После этого происходит запуск и извлечение из архива VSB-скрипта для выполнения дополнительного кода в формате PowerShell.
«Библиотеки позволяют злоумышленникам контролировать и отслеживать действия мыши, клавиатуры, а также фиксировать контент на экране», – говорится в отчете Phylum, опубликованном на прошлой неделе.
Кроме того, вредоносные пакеты умеют красть cookie-файлы, сохраненные пароли и данные криптокошельков из браузеров Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX и Vivaldi.
Кроме того, злоумышленники удивили специалистов новой тактикой: в ходе атаки полезная нагрузка вредоноса пытается загрузить и установить cloudflared, инструмент командной строки для Cloudflare Tunnel, позволяющий обеспечить безопасный способ подключения ресурсов к Cloudflare без публичного маршрутизируемого IP-адреса.
Идея заключается в том, чтобы использовать туннель для удаленного доступа к зараженному устройству с помощью приложения на базе Flask, в котором скрывается троян под названием xrat, с помощью которого злоумышленники получают возможность выполнять shell-команды, загружать и выполнять произвольные файлы на устройстве жертвы, похищать данные и даже запускать произвольный Python-код. Flask-приложение поддерживает функцию “live”, которая использует JavaScript для отслеживания событий клавиатуры и мыши.