Botaa3 Malware

Description de Botaa3 Malware

Un autre package menaçant a été découvert sur le référentiel Python Package Index (PyPI). Avant d'être supprimée, la menace avait réussi à accumuler environ 130 téléchargements. Le package a été nommé « botaa3 » dans une tentative médiocre d'imiter le nom « boto3 », le très populaire kit de développement logiciel (SDK) Amazon Web Services (AWS) pour Python.

Des experts en cybersécurité ont analysé le code de la menace et découvert ses capacités néfastes. Le package botaa3, sidéployé avec succès, fournirait aux attaquants la possibilité d'exécuter du code arbitraire sur le système violé, en prenant effectivement le contrôle de celui-ci.

Détails techniques

Le package botaa3 comportait plusieurs niveaux d'obscurcissement utilisant l'encodage base64 et le cryptage XOR au niveau du bit. De plus, il contient également l'intégralité du code du package boto3 légitime. En fait, la menace installe boto3 dans le cadre de ses actions, dans le but d'éviter davantage d'éveiller les soupçons. Une « KillDate » fixée au 17 novembre 2020 est également enfouie dans le code. Après cette date, le package botaa3 ne sera plus opérationnel.

Capacités menaçantes

L'une des premières actions entreprises par le malware est de vérifier auprès de son serveur Command-and-Control (C2, C&C). Au cours de cette étape, botaa3 exfiltre diverses informations issues du système de la victime. Les données incluent l'adresse IP, les détails du système d'exploitation et de l'architecture, les informations d'identification du compte, le nom d'hôte, le FQDN (nom de domaine complet) et plus encore.

Ensuite, botaa3 attendra les commandes entrantes. Les acteurs malveillants peuvent collecter des fichiers ou en télécharger d'autres, manipuler le système de fichiers (supprimer des fichiers et des dossiers), ouvrir des shells inversés, charger des modules et des scripts Python supplémentaires, etc. Les attaquants peuvent également ordonner au malware d'arrêter ses activités et de dormant.

Après avoir été informée de la présence de la menace botaa3, l'équipe de sécurité PyPI a pris des mesures presque immédiatement et a supprimé le paquet menaçant.