Una campagna malware ha preso di mira sistemi macOS sfruttando un pacchetto PyPi compromesso

Una campagna malware ha preso di mira sistemi macOS sfruttando un pacchetto PyPi compromesso

Un pacchetto compromesso è stato usato per installare Sliver, la piattaforma di accesso remoto usata per attività di penetration testing

di pubblicata il , alle 17:31 nel canale Sicurezza
 

Una nuova campagna malware ha preso di mira i dispositivi macOS, sfruttando un pacchetto dannoso ospitato su Python Package Index (PyPI) che imita la popolare libreria "requests". Si tratta di un pacchetto che è stato progettato appositamente per distribuire la piattaforma di accesso remoto Sliver C2, uno strumento avanzato utilizzato normalmente dagli aggressori per guadagnare l'accesso iniziale alle reti aziendali.

La campagna è stata scoperta dai ricercatori di Phylum e si avvale di una serie di tecniche di offuscamento, tra cui l'uso della steganografia all'interno di un file immagine PNG per installare il payload Sliver sul sistema preso di mira. Dopo che Phylum ha divulgato i dettagli della campagna, il pacchetto il pacchetto PyPI dannoso è stato rimosso, ma la sua scoperta rappresenta un ulteriore segno dell'adozione crescente di Sliver da parte degli aggressori per accedere alle reti aziendali.

Il recente attacco analizzato da Phylum prende il via con un pacchetto Python dannoso per macOS denominato "requests-darwin-lite", presentato come un fork benigno della popolare libreria "requests". Il pacchetto, ospitato come dicevamo su PyPI, contiene il file binario di Sliver all'interno di un file immagine PNG da 17 MB con il logo Requests.

Durante l'installazione su un sistema macOS, viene eseguita una classe PyInstall che decodifica una stringa con codifica base64 per eseguire un comando (ioreg) che recupera l'UUID (Universal Unique Identifier) del sistema. L'UUID viene utilizzato per verificare che il pacchetto venga installato sulla destinazione effettiva, confrontandolo con un UUID predefinito. Quando c'è una corrispondenza, il binario Go all'interno del file PNG viene letto ed estratto da una porzione specifica all'offset del file. Il binario Sliver viene scritto su un file locale con permessi di file modificati per renderlo eseguibile e, infine, viene avviato in background.

Le versioni compromesse erano la 2.27.1 e la 2.27.2, mentre le successive 2.28.0 e 2.28.1 mancavano delle modifiche dannose e dell'innesco per l'installazione. Phylum ipotizza che si sia trattato di un attacco altamente mirato, soprattutto se si considera il controllo dell'UUID, quindi gli autori della minaccia probabilmente hanno riportato il pacchetto in uno stato benigno per evitare di attirare attenzioni indesiderate.

Come accennavamo, Sliver è una suite open source multipiattaforma(Windows, macOS, Linux) progettata per le operazioni cosiddette di "red team" nelle sessioni di addestramento di sicurezza informatica, ovvero per simulare le azioni dell'avversario durante il test delle difese di rete. Le sue principali caratteristiche comprendono la generazione, il comando e il controllo (C2) di impianti personalizzati, strumenti e script post-exploit e svariate opzioni di emulazione di attacchi.

Sono queste funzionalità, sofisticate e potenti, che hanno reso Sliver uno strumento popolare tra gli hacker a partire dal 2022, come principale alternativa ad un altro strumento di pen-testing usato impropramente sempre dagli hacker, il noto Cobal Strike. Sempre nel corso del 2022 Sliver è stato già notato prendere di mira dispositivi macOS, con una campagna di distribuzione basata sull'uso di una falsa app VPN. L'adozione da parte dei criminali informatici ha continuato ad aumentare costantemente nel 2023, quando Sliver è stato individuato in attacchi BYOVD (Bring Your Own Vulnerable Driver) e operazioni ransomware.

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn15 Maggio 2024, 08:28 #1
Stranamente questa notizia non viene commentata, peccato !
gd350turbo15 Maggio 2024, 08:53 #2
Originariamente inviato da: Saturn
Stranamente questa notizia non viene commentata, peccato !


E' sempre così...
Sperano che passi inosservata !
TorettoMilano15 Maggio 2024, 09:09 #3
Originariamente inviato da: Saturn
Stranamente questa notizia non viene commentata, peccato !


cosa c'è da commentare? se si parla del discorso "store chiuso più/meno sicuro di store terzi" questa notizia avvalora il discorso "usando solo lo store principale si sarebbe evitata questa criticità"
Saturn15 Maggio 2024, 09:11 #4
Originariamente inviato da: TorettoMilano
cosa c'è da commentare? se si parla del discorso "store chiuso più/meno sicuro di store terzi" questa notizia avvalora il discorso "usando solo lo store principale si sarebbe evitata questa criticità"


Ma hai letto la notizia ? Hai letto di che si tratta ?

Cosa centra lo store ?
TorettoMilano15 Maggio 2024, 09:15 #5
Originariamente inviato da: Saturn
Ma hai letto la notizia ? Hai letto di che si tratta ?

Cosa centra lo store ?


ti copio incollo quanto scritto nell'articolo

Il recente attacco analizzato da Phylum prende il via con un pacchetto Python dannoso per macOS denominato "requests-darwin-lite", presentato come un fork benigno della popolare libreria "requests". Il pacchetto, ospitato come dicevamo su PyPI, contiene il file binario di Sliver all'interno di un file immagine PNG da 17 MB con il logo Requests.
Saturn15 Maggio 2024, 09:17 #6
Originariamente inviato da: TorettoMilano
ti copio incollo quanto scritto nell'articolo


Quindi ?
gd350turbo15 Maggio 2024, 09:28 #7
Originariamente inviato da: Saturn
Quindi ?


eh...
quindi
tra un pò secondo me partono le faccine !
aqua8415 Maggio 2024, 09:30 #8
Quanti usano macOS ?
E quanti di quelli che usano macOS usano Sliver??

Ecco spiegato il no-comment della notizia

Del resto come già detto fino alla nausea il bugs sono in qualunque sistema, quello che cambia è l impatto che hanno.
Saturn15 Maggio 2024, 09:33 #9
Originariamente inviato da: aqua84
Quanti usano macOS ?
E quanti di quelli che usano macOS usano Sliver??

Ecco spiegato il no-comment della notizia

Del resto come già detto fino alla nausea il bugs sono in qualunque sistema, quello che cambia è l impatto che hanno.


Amen. Sono d'accordissimo, non d'accordo con te.

Però è ora che la si smetta con questa panzana della cassaforte inespugnabile che secondo qualcuno erano i device apple, pre modifiche e adeguamenti alle nuove direttive europee.

Avevano bug e falle di sicurezza prima e hanno bug e falle di sicurezza adesso. Ne più ne meno.

Per me la questione è chiara e chiusa.
Gringo [ITF]15 Maggio 2024, 09:53 #10
Tutte notizie false, MacOS/iOS sono IMPENETRABILI e le Exploit in realtà sono UTILI FEATURES che possono sempre salvare la vita all'utenza, parola di Steve dall'Isola.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^