Onderzoekers van cybersecurityfirma Checkmarx hebben een malware-campagne ontdekt waarbij aanvallers het hadden voorzien op de crypto-portemonnee en persoonlijke data van slachtoffers in de Python-community.
De criminelen wonnen eerst het vertrouwen van leden van de Python Package Index (PyPI)-community alvorens hun malware te distribueren, meldt het bedrijf. De campagne begon op 25 juni met verwijzingen op het StackExchange Q&A-platform naar ogenschijnlijk ‘goedaardige’ Python-packages. Deze hadden namen als ‘spl-types’ in een poging vertrouwenwekkend te klinken.
Kwaadaardige versies duiken op
Ook wisten de malafide actoren hun geloofwaardigheid te vergroten door behulpzame en nuttige antwoorden te geven op vragen van gebruikers. Het duurde echter niet lang of er begonnen kwaadaardige versies van deze pakketten op te duiken. Daarin zat malware verborgen in het ‘init.py’-bestand.
De malware voerde zichzelf meteen uit na installatie. Doelwitten waren de crypto-wallets van gebruikers en gevoelige data. Er zat een backdoor in de malware, waardoor de aanvallers langdurige remote access hadden tot gecompromitteerde systemen.
Gevoelige data geroofd
Het ging de aanvallers vooral om eigenaars van de Raydium- en Solana-cryptovaluta. Daarnaast roofde de malware een keur aan gevoelige data zoals wachtwoorden, creditcardgegevens, browsergeschiedenis, GitHub-herstelcodes en BitLocker-keys.
Zelfs berichtenapps als Telegram, Signal en Session waren niet veilig. Wanneer de malware zich hier nestelde, zocht het naar sleutelwoorden die te maken hebben met crypto en andere gevoelige info en maakte nota bene screenshots. De gestolen data werd gecomprimeerd en vervolgens naar het controlecentrum van de aanvallers gestuurd via Telegram-bots.
De laatste tijd is er steeds meer aandacht voor hackers met een lange adem die langdurig werken aan het wekken van vertrouwen. De makers van de backdoor in de xz-compressietool voor Linux die eerder dit jaar aan het licht kwam, gebruikten niet alleen geavanceerde technieken om onopgemerkt te blijven. Juist ook het opbouwen van goodwill en inpraten op het beoogde slachtoffer was één van de opvallendste kenmerken van de criminele werkwijze in deze zaak.
Lees ook: Makers van beruchte xz-backdoor wisten hun sporen uitstekend uit te wissen