请注意,Python的Pytoileur包存在shellcode,该攻击主要针对Windows用户
setup.py文件乍一看很干净,可能会误以为它是一个空软件包,往17行最右边看
埋藏了shellcode
使用base64解码
该代码针对Windows用户,并调用Python命令从外部服务器检索恶意可执行文件:http://51.77.140.144:8086/dl/runtime
检索到的二进制文件“Runtime.exe”然后通过利用系统上的Windows PowerShell和VBScript命令运行;
安装后,可执行文件实现持久性,并包含几个反检测措施,以阻止研究人员和恶意软件沙箱的分析。
该软件包进一步删除可疑的可执行文件,修改Windows注册表设置,并部署以前被识别为间谍软件的有效负载。
其中一个二进制文件(“main.exe”)包含信息窃取和加密劫持功能。例如,二进制文件试图泄露保存在常见Web浏览器(Google Chrome、Brave、Firefox等)中的用户配置文件和数据。并试图访问与金融科技和加密服务相关的本地资产,如Binance,Coinbase,Exodus Wallet,PayPal,Payoneer,PaySafeCard,Crypto.com,Skrill等。
pytoileur (pydigger.com)
原文始发于微信公众号(CarHacking):Python的Pytoileur包存在恶意shellcode
