Новый инфостиллер на Python использует Unicode для маскировки

Исследователи кибербезопасности из компании Phylum обнаружили новую форму вредоносного ПО в пакете PyPI, которая использовала Unicode для маскировки.

Новый инфостиллер на Python использует Unicode для маскировки. Фото: СС0

Unicode — это глобальный стандарт кодирования, используемый для различных языков и алфавитов и охватывающий более 100 тыс. символов, цель которого — упростить и оптимизировать способ просмотра символов в электронных и цифровых устройствах. В Unicode каждая буква, цифра и символ получают уникальное числовое значение, которое остается неизменным независимо от используемой программы или платформы.

Вредоносное ПО называется «onyxproxy» и представляет собой похититель информации, который охотится за учетными данными для входа в систему и токенами аутентификации. Он был доступен на PyPI в течение недели, прежде чем был закрыт, и за это время ему удалось получить 183 загрузки, а это означает, что до 183 различных разработчиков подвергаются риску кражи учетных данных и личных данных.

Программа содержит пакет setup.py, который, по словам исследователей, содержит «тысячи» подозрительных строк кода, в которых используется комбинация символов Unicode.

На первый взгляд они выглядят нормальными и доброкачественными, однако то, что видит человеческий глаз и то, что видит программа, — две совершенно разные вещи, говорят исследователи.

В onyxproxy есть три критических идентификатора: «__import__», «subprocesses» и «CryptoUnprotectData». Исследователи объясняют, что у них есть большое количество вариантов, что делает их идеальными для преодоления защиты, основанной на сопоставлении строк.

Хотя техника может показаться сложной, исследователи утверждают, что она не совсем сложна.

Из сообщения исследователей безопасности:

«Тот, у кого автор скопировал этот обфусцированный код, достаточно умен, чтобы знать, как использовать устройство интерпретатора Python для создания нового типа запутанного кода, такого, который можно читать, не раскрывая его смысл и что он пытается украсть».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме