Filme und Fernsehsendungen haben uns gelehrt, Computerhacker mit schwierigen Aufgaben, detaillierten Handlungssträngen und ausgefeilten Plänen in Verbindung zu bringen. Was der Sicherheitsforscher Carlos Fernández und ich kürzlich in Open-Source-Registern herausgefunden haben, spricht eine andere Sprache: Schlechte Akteure bevorzugen Einfachheit, Effektivität und benutzerzentriertes Denken. Und um ihren Schadcode auf die nächste Stufe zu heben, fügen sie mithilfe von ChatGPT auch neue Funktionen hinzu. Genau wie Software-as-a-Service ( ) sind auch Malware-as-a-Service (MaaS)-Angebote wie , und auf Untergrundmärkten so beliebt geworden, weil sie es getan haben Aktive Kundensupportkanäle und ihre Produkte sind in der Regel elegant und benutzerfreundlich. Es versteht sich von selbst, dass diese Produkte oft von professionellen Cyberkriminellen entwickelt werden. SaaS DuckLogs Redline Stealer Racoon Stealer Aktivieren Sie diese Kästchen, füllen Sie dieses Formular aus, klicken Sie auf diese Schaltfläche ... Hier ist Ihr gebrauchsfertiges Malware-Beispiel! In den weniger beliebten MaaS-Angeboten, die wir in freier Wildbahn gefunden haben, wie etwa dem Token-Grabber , gibt es den Versuch, menschenzentrierte Designprinzipien zu integrieren, aber das Produkt scheitert beim Kundensupport. Die zugehörigen Telegram-Konten werden größtenteils von Teenagern betrieben und genutzt und sind voller Beschwerden und feindseliger „Bro-Gerede“, weil das Versprechen einer „lebenslangen Garantie“ gebrochen wurde: Discord- Z3US Schon bevor ich zu Sonatype kam, habe ich mich gefragt . Und jetzt, wo ich eine Reihe von Kampagnen und böswilligen Akteuren aus der ganzen Welt verfolge, ist mir eines klar geworden: Die meisten Schadpakete, auf die mich das Sicherheitsforschungsteam aufmerksam macht, sind nicht das Produkt eines schrulligen Genies im Kapuzenpullover Codierung aus einem dunklen Keller voller Monitore. Dank der Einfachheit von MaaS kann jeder problemlos Beispiele erstellen und in Open-Source-Register hochladen, mit minimalen Einrichtungskosten und minimalem technischem Wissen. , wie das moderne Gesicht der Cyberkriminalität aussieht Malware- Avast-Forscher , dass seit Beginn der anhaltenden Covid-19-Pandemie Plattformen wie Discord und Telegram bei der jüngeren Bevölkerung immer beliebter werden. Anstatt die gängigen sozialen Medien zu nutzen, erstellen diese Teenager Malware-Communitys in Discord, um ohne elterliche Aufsicht zu spielen, zu chatten und Kontakte zu knüpfen. Diese Communities werden in der Regel von den technisch versiertesten Mitgliedern geleitet, die angeben, indem sie konkurrierende Server übernehmen oder sogar Screenshots mit Informationen teilen, die sie ahnungslosen Opfern gestohlen haben. Sie suchen auch aktiv nach anderen Mitgliedern aufgrund ihrer Programmierkenntnisse oder ihres Potenzials, zu ihren Kampagnen beizutragen. haben beobachtet Als unbeabsichtigte Folge dieser Aktivitäten sind die robusten Open-Source-Register, auf die wir angewiesen sind, mit einer Überlastung der Ressourcen konfrontiert. bestätigten unsere Sicherheitsforscher, dass satte 6.933 Pakete, die in die npm- und PyPI-Register hochgeladen wurden, bösartig waren. Allein im letzten Monat Wir haben kürzlich , die mehr als 5.000 Pakete auf PyPI hochgeladen hat. Die Nutzlast in diesen Paketen versuchte, mithilfe eines PowerShell-Befehls einen Windows-Trojaner von Dropbox, GitHub und Discord herunterzuladen. die Kampagne einer spanischsprachigen Gruppe namens EsqueleSquad verfolgt Anschließend einer anderen Gruppe namens SylexSquad, möglicherweise aus Spanien, die Pakete mit Malware erstellte, die darauf abzielten, vertrauliche Informationen herauszufiltern. Neben der Werbung für ihre Produkte mit YouTube-Videos und dem Verkauf auf einem Marktplatz verfügen sie über eine kleine Discord-Community zur Gewinnung neuer Mitglieder. Und sie scheinen genügend Zeit zu haben, die Open-Source-Software-Lieferkette zu verschmutzen. untersuchten wir die Aktivitäten Skidded-Code mit einer Prise KI In der ersten Aprilwoche hat unser KI-System eine Reihe von auf PyPI hochgeladenen Paketen als verdächtig gekennzeichnet und später von unseren Sicherheitsforschern als bösartig bestätigt. Diese Pakete hatten ein Namensmuster, das aus dem Präfix „py“ gefolgt von Verweisen auf Antivirensoftware bestand: , , und . pydefenderultra pyjunkerpro pyanalizate pydefenderpro Carlos Fernández bemerkte, dass die Pakete der Gruppe SylexSquad zugeschrieben wurden, was auf die Fortsetzung einer Kampagne hindeutet, die wir zuvor verfolgt hatten und die die Pakete und umfasste. Nachdem wir diese Entdeckung gemacht hatten, begannen wir mit der Kartierung ihrer Aktivitäten. reverse_shell sintaxisoyyo In einem Katz-und-Maus-Spiel half uns das PyPI-Team jedes Mal, wenn wir bestätigten, dass eines dieser Pakete bösartig war, es zu entfernen, und ein paar Stunden später schlichen sich die Bösewichter ein Paket mit ähnlichem Namen ein. Um Ihnen ein vollständiges Bild dieser Kampagne zu vermitteln, lassen Sie uns unsere ersten Ergebnisse noch einmal zusammenfassen: Wenn Entwickler das PyPI-Paket installieren würden, würde ausführen, ein leicht verschleiertes Skript, das auf GitHub gehostet und als eine Reihe von Zahlen codiert wird, die ASCII-Codes entsprechen. reverse_shell setup.py bypass.py Nach der Entschleierung würden neue Registrierungswerte unter Windows für die Persistenz erstellt und folglich eine andere von GitHub gehostete Datei, , aufgerufen, ein Informationsdiebstahler. Sensible Daten wie Browserinformationen (Verlauf, Cookies, Passwörter …), Steam-Konten, Telegram-Konten, Kreditkarten und sogar ein Screenshot des Desktops des Opfers würden über den Discord-Webhook des Angreifers hochgeladen. WindowsDefender.py Wenn wir uns die neuen Pakete dieser Gruppe ansehen, finden wir ein völlig anderes , das aus stark verschleiertem Code (AES 256-Verschlüsselung) besteht, der mit generiert wurde, einem Dienst, der „Schutz durch vier Algorithmusschichten“ verspricht. Bevor Carlos die Ärmel für den Entschleierungsvorgang hochkrempelte, konnten wir aus dem Meer getarnten Codes nur zwei Informationen erkennen: die Dienst-URL und eine lesbare Nachricht: „ „Jedes Wort in dieser Nachricht war eine Variable, die für den Entschleierungsvorgang verwendet wurde: setup.py Pyobfuscate why, are, you, reading, this, thing, huh Ich werde nicht näher auf die Funktionsweise von Pyobfuscate eingehen, aber mit Geduld und Fachwissen gelang es Carlos, den Code erfolgreich zu entschlüsseln und seine wahre Form zu enthüllen. Er fand es faszinierend, dass der verschleierte Inhalt nicht nur in vorhanden war, sondern auch in der zuvor lesbaren , die ursprünglich von GitHub und jetzt vom -Dienst abgerufen wurde. setup.py WindowsDefender.py transfer.sh Wenn böswillige Akteure nicht schnell genug handeln, besteht eine gute Chance, dass Sicherheitsforscher wie wir – und die Regeln von GitHub, die – ihre Pläne zunichte machen. Dies ist der Fall bei , das ursprünglich auf dem GitHub-Repo „joeldev27“ gehostet wurde, als es von den PyPI-Paketen und verwendet wurde, und bald darauf inaktiv wurde. die Verwendung der Plattform als Malware-CDN nicht zulassen WindowsDefender.py pycracker pyobfpremium Da dieser Dateiname ständig verwendet wurde, habe ich etwas recherchiert und herausgefunden, dass auf einem GitHub-Repo namens gehostet wurde. Als ich Carlos diese Entdeckung mitteilte, antwortete er verwundert: „In den nächsten Stunden wird auf PyPI ein neues Paket mit einer verschleierten erscheinen. Nach der Installation wird von diesem Repo ein stark verschleiertes Skript namens „ “ heruntergeladen, das einen Persistenzmechanismus einrichtet und den von uns zuvor untersuchten Info-Stealer mit dem Namen “ herunterlädt.“ WindowsDefender.py CosasRandoms480 setup.py WindowsDefender.py WindowsDefender.py Seine Vorhersage wurde wahr, als das Paket weniger als 30 Minuten später auf PyPI erschien und „CosasRandoms480“ effektiv als Malware-CDN nutzte. Wir haben es dem PyPI-Team gemeldet und es wurde bald darauf entfernt. pyobfadvance Wissenschaftler und Philosophen haben sich gefragt, ob . Die Arbeit als Sicherheitsforscher fühlt sich sicherlich so an. Sie stecken in einem Teufelskreis aus Recherche, Entdeckung und Berichterstattung fest, und die gleichen Bedrohungen tauchen immer wieder auf. wir in einer Computersimulation leben Zwei Tage später wurde ein neues SylexSquad-Paket auf unserem System gemeldet: Gleiches verschleiertes . Dieselbe URL aus die dieselbe mit demselben Persistenzmechanismuscode und derselben Ausführung des Info-Stealers in ausführt. Alles sah gleich aus, doch die Datei war und ein neues Skript wurde von aufgerufen: pydefenderpro. setup.py demselben GitHub-Repo, WindowsDefender.py WindowsDefender.py nicht mehr verschleiert transfer.sh „Es ist eine RATTE!“ Carlos hat mir auf eine Nachricht geschickt. „Und auch ein Informationsdieb–“ Slack „Ein RATTE-Mutant?“ Ich antwortete und bezog mich dabei auf einen Trend , die Remote-Access-Trojaner und Informationsdiebstahler kombiniert. , den wir in freier Wildbahn bei einer Art Malware beobachten „Genau“, sagte Carlos. OSINT-Recherchen ergaben, dass der neue RAT-Code kein Original, sondern eine Kopie von war: einer Kopie DiscordRAT : Ein bösartiges Paket wird dem PyPI-Team gemeldet und das PyPy-Team entfernt es. Spülen und wiederholen Natürlich kam bald darauf ein neues Paket, auf den Markt. Was hier anders war, ist, dass die Angreifer zum Dienst statt zu GitHub migrierten, um herunterzuladen, wahrscheinlich aufgrund der Deaktivierung des „CosasRandoms480“-Repositorys. pydefenderultra, Pastebin.pl- WindowsDefender.py Wir vermuten, dass die lesbare Version von es einfacher machte, zu bestätigen, dass es gegen verstößt. Aber warum haben die schlechten Schauspieler beschlossen, das Drehbuch zu entschlüsseln? War es zu kompliziert für ihren simplen Prozess? WindowsDefender.py die GitHub-Regeln Die RAT mutierte weiter. Das Menü und die Kommentare wurden nun ins Spanische übersetzt und verfügten über zusätzliche Funktionalitäten. Der Zyklus ging weiter, als sie ein weiteres Paket, hochluden. Diesmal umfassten die zusätzlichen Funktionen einen Keylogger, einen Audiorecorder, die Exfiltration von Betriebssystemdaten und die Möglichkeit, beliebige Dateien des Opfers auf den Discord-Kanal des Angreifers hochzuladen. Die Kommentare zum Code waren ungewöhnlich zahlreich, was normalerweise nur mit Tutorial-Code und nicht mit Malware in Verbindung gebracht wird. pyjunkerpro, „Warten Sie“, sagte Carlos und dachte laut nach. „Was wäre, wenn sie KI nutzen würden, um neue Funktionalitäten zu schaffen?“ Tools wie und bieten einen guten Ausgangspunkt für die Erkennung von KI-generiertem Text. Die Identifizierung von KI-generiertem Code ist jedoch immer noch eine Herausforderung, da es derzeit (soweit ich weiß) keine verfügbaren Tools gibt, die dies genau durchführen können. Glücklicherweise sind Menschen immer noch sehr gut darin, Muster zu erkennen … GPTZero Copyleaks Ich öffnete schnell einen ChatGPT-Tab und gab eine Eingabeaufforderung auf Spanisch ein, die wie folgt lautete: „Schreibe Python-Code für einen Discord-Bot, der mit PyAudio Audio von einem Remote-Computer hochlädt.“ Die Ausgabe, die ich bekam, war unheimlich ähnlich: Anscheinend haben wir Script-Kiddies verfolgt, die Code aus verschiedenen Quellen kopierten und dann ChatGPT nutzten, um neue Funktionen hinzuzufügen. Der daraus resultierende einzigartige Code gab ihnen das Vertrauen, es auf zu bewerben oder über ihren eigenen Marktplatz zu verkaufen. Und niemand würde vermuten, dass es sich nicht um eine Originalkreation handelte. YouTube Dies wirft eine interessante Frage auf: Wie sollen wir diese schlechten Schauspieler nennen? KI-gesteuerte Kinder? Pünktliche Kinder? Ich habe bei ChatGPT nachgefragt und es hieß: Wenn eine Person ChatGPT verwendet, um ihrer Malware neue Funktionen hinzuzufügen, kann sie als eine fortgeschrittenere Art von Hacker betrachtet werden als ein herkömmlicher Skript-Kiddie. Es könnte zutreffender sein, sie stattdessen als „Hacker“ oder „KI-unterstützte Hacker“ zu bezeichnen. Faszinierend. ChatGPT verleiht ihnen mehr Status. OSINT mit einer Prise KI Aus Versuchsgründen wollte Carlos eine Eingabeaufforderung ausprobieren, um zu sehen, ob das Tool uns auch dabei helfen würde, weitere Einblicke in die Aktivitäten der Bösewichte zu gewinnen. „Ich benötige Python-Code, der die Discord-API als Bot verwenden kann (unter Verwendung eines Tokens). Das Skript sollte eine Verbindung zum Bot herstellen und die Gildeninformationen, Gildenmitglieder, Gildenkanäle und den Nachrichtenverlauf anzeigen.“ Wie erwartet hat ChatGPT stark kommentierten Code und klare Anweisungen für den Einstieg generiert: . Also kopierten wir das Token, das die „KI-unterstützten Hacker“ in hinzugefügt hatten, und fügten es in unser KI-generiertes Python-Skript ein. Um diesen Code zu verwenden, ersetzen Sie „your_bot_token_here“ durch Ihr Bot-Token und führen Sie das Python-Skript aus MicrosoftUpdate.py Wir haben diesen Code ausgeführt ... …und wir waren drin! Wir haben Informationen über die Mitglieder (MEE6, $Demon666, $̷y̷n̷t̷a̷x̷E̷r̷r̷o̷r̷, aitanaxx05 + 4 reps, Esmeralda, SylexNaranjoDomina und AI Image Generator), Kanäle und Nachrichtenverlauf gesammelt. Es stellte sich heraus, dass sie bereits einige Benutzer infiziert hatten – wir identifizierten eine IP aus Kuba und eine andere aus Indien. Und die Betriebssysteminformationen wurden an Kanäle weitergegeben, die nach dem Benutzernamen des infizierten Opfers benannt waren: Wir entdeckten, dass wir mit einem Bot namens „SylexNaranjoDomina“ verbunden waren, der über Administratorrechte verfügte. Dies könnte es jemandem ermöglichen, Mitglieder hinzuzufügen, Webhooks zu löschen oder bestehende Kanäle zu ändern. Jemand könnte den Gildennamen leicht von „Der Server von Demon666“ in „Der Server eines Script Kiddie“ ändern – eine passende Beschreibung für diese Art von schlechtem Schauspieler, obwohl ich glaube, dass ChatGPT diese Idee missbilligen könnte. Bleiben Sie wachsam Aus dieser Untersuchung geht klar hervor, dass die Verbreitung von MaaS und der Einsatz von KI-gestütztem Code neue Möglichkeiten für weniger technisch versierte böswillige Akteure geschaffen hat. Da immer mehr Benutzer diese Tools und Angebote nutzen, gibt es noch mehr Möglichkeiten für Schadpakete, Ihre Build-Umgebung zu infizieren. Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, müssen sich auch unsere Abwehrmaßnahmen weiterentwickeln. Indem wir informiert, vorsichtig und geschützt bleiben, können wir der sich ständig ändernden Bedrohung durch Cyberkriminalität einen Schritt voraus sein.
