Una campagna malware ha preso di mira sistemi macOS sfruttando un pacchetto PyPi compromesso
Un pacchetto compromesso è stato usato per installare Sliver, la piattaforma di accesso remoto usata per attività di penetration testing
di Andrea Bai pubblicata il 14 Maggio 2024, alle 17:31 nel canale SicurezzaUna nuova campagna malware ha preso di mira i dispositivi macOS, sfruttando un pacchetto dannoso ospitato su Python Package Index (PyPI) che imita la popolare libreria "requests". Si tratta di un pacchetto che è stato progettato appositamente per distribuire la piattaforma di accesso remoto Sliver C2, uno strumento avanzato utilizzato normalmente dagli aggressori per guadagnare l'accesso iniziale alle reti aziendali.
La campagna è stata scoperta dai ricercatori di Phylum e si avvale di una serie di tecniche di offuscamento, tra cui l'uso della steganografia all'interno di un file immagine PNG per installare il payload Sliver sul sistema preso di mira. Dopo che Phylum ha divulgato i dettagli della campagna, il pacchetto il pacchetto PyPI dannoso è stato rimosso, ma la sua scoperta rappresenta un ulteriore segno dell'adozione crescente di Sliver da parte degli aggressori per accedere alle reti aziendali.
Il recente attacco analizzato da Phylum prende il via con un pacchetto Python dannoso per macOS denominato "requests-darwin-lite", presentato come un fork benigno della popolare libreria "requests". Il pacchetto, ospitato come dicevamo su PyPI, contiene il file binario di Sliver all'interno di un file immagine PNG da 17 MB con il logo Requests.
Durante l'installazione su un sistema macOS, viene eseguita una classe
PyInstall che decodifica una stringa con codifica base64 per eseguire un
comando (ioreg) che recupera l'UUID (Universal Unique Identifier) del
sistema. L'UUID viene utilizzato per verificare che il pacchetto venga
installato sulla destinazione effettiva, confrontandolo con un UUID
predefinito. Quando c'è una corrispondenza, il binario Go all'interno del
file PNG viene letto ed estratto da una porzione specifica all'offset del
file. Il binario Sliver viene scritto su un file locale con permessi di
file modificati per renderlo eseguibile e, infine, viene avviato in
background.
Le versioni compromesse erano la 2.27.1 e la 2.27.2, mentre le successive 2.28.0 e 2.28.1 mancavano delle modifiche dannose e dell'innesco per l'installazione. Phylum ipotizza che si sia trattato di un attacco altamente mirato, soprattutto se si considera il controllo dell'UUID, quindi gli autori della minaccia probabilmente hanno riportato il pacchetto in uno stato benigno per evitare di attirare attenzioni indesiderate.
Come accennavamo, Sliver è una suite open source multipiattaforma(Windows, macOS, Linux) progettata per le operazioni cosiddette di "red team" nelle sessioni di addestramento di sicurezza informatica, ovvero per simulare le azioni dell'avversario durante il test delle difese di rete. Le sue principali caratteristiche comprendono la generazione, il comando e il controllo (C2) di impianti personalizzati, strumenti e script post-exploit e svariate opzioni di emulazione di attacchi.
Sono queste funzionalità, sofisticate e potenti, che hanno reso Sliver uno strumento popolare tra gli hacker a partire dal 2022, come principale alternativa ad un altro strumento di pen-testing usato impropramente sempre dagli hacker, il noto Cobal Strike. Sempre nel corso del 2022 Sliver è stato già notato prendere di mira dispositivi macOS, con una campagna di distribuzione basata sull'uso di una falsa app VPN. L'adozione da parte dei criminali informatici ha continuato ad aumentare costantemente nel 2023, quando Sliver è stato individuato in attacchi BYOVD (Bring Your Own Vulnerable Driver) e operazioni ransomware.
20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoE' sempre così...
Sperano che passi inosservata !
cosa c'è da commentare? se si parla del discorso "store chiuso più/meno sicuro di store terzi" questa notizia avvalora il discorso "usando solo lo store principale si sarebbe evitata questa criticità"
Ma hai letto la notizia ? Hai letto di che si tratta ?
Cosa centra lo store ?
Cosa centra lo store ?
ti copio incollo quanto scritto nell'articolo
Quindi ?
eh...
quindi
tra un pò secondo me partono le faccine !
E quanti di quelli che usano macOS usano Sliver??
Ecco spiegato il no-comment della notizia
Del resto come già detto fino alla nausea il bugs sono in qualunque sistema, quello che cambia è l impatto che hanno.
E quanti di quelli che usano macOS usano Sliver??
Ecco spiegato il no-comment della notizia
Del resto come già detto fino alla nausea il bugs sono in qualunque sistema, quello che cambia è l impatto che hanno.
Amen. Sono d'accordissimo, non d'accordo con te.
Però è ora che la si smetta con questa panzana della cassaforte inespugnabile che secondo qualcuno erano i device apple, pre modifiche e adeguamenti alle nuove direttive europee.
Avevano bug e falle di sicurezza prima e hanno bug e falle di sicurezza adesso. Ne più ne meno.
Per me la questione è chiara e chiusa.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".