Notícias Tech

Novo malware ChocoPoC atinge pesquisadores com exploits adulterados

Resumo da notícia:

Pesquisadores identificaram uma nova campanha de ciberataques que utiliza explorações de prova de conceito (PoC) no GitHub para disseminar o trojan de acesso remoto ChocoPoC, escrito em Python. Diferente de métodos anteriores, o malware não é inserido diretamente no arquivo de exploração, mas sim adicionado como dependências maliciosas em pacotes Python, dificultando a detecção por profissionais de segurança.

O ataque começa quando a vítima clona um repositório aparentemente legítimo, que automaticamente instala o pacote comprometido ‘frint’. Durante a instalação, esse pacote busca outra dependência, ‘skytext’, que contém uma extensão Python nativa compilada. Ao executar a PoC, a extensão decripta código adicional, ativando um downloader que obtém o payload final, ChocoPoC, a partir de um dataset hospedado no Mapbox.

O ChocoPoC RAT oferece ao invasor diversas funcionalidades, incluindo execução de comandos remotos, coleta de credenciais de navegadores, histórico de shell, arquivos sensíveis e informações de configuração de rede. Além disso, o Mapbox é utilizado tanto para exfiltração de dados quanto para entrega do malware, demonstrando sofisticação no uso de serviços legítimos para fins maliciosos.

Segundo a empresa de cibersegurança Sekoia, ao menos sete repositórios no GitHub foram identificados distribuindo o ChocoPoC, explorando vulnerabilidades em sistemas como FortiWeb, PAN-OS, Check Point VPN e Joomla. O pacote ‘skytext’ já foi baixado mais de 2.400 vezes, principalmente em sistemas Linux, com picos de downloads após a divulgação de vulnerabilidades populares, o que evidencia o foco em pesquisadores e profissionais de testes de penetração.

A investigação aponta que os responsáveis pela campanha utilizam contas comprometidas para publicar os pacotes maliciosos, dificultando a atribuição direta dos ataques. Especialistas alertam que a técnica de separar o código malicioso das PoCs originais representa um novo desafio para a comunidade de segurança, reforçando a necessidade de cautela ao executar códigos de fontes não verificadas.

Fonte original: www.bleepingcomputer.com

Acessar publicação original

Resumo editorial criado automaticamente pela Eletrônica Americana com base em fontes internacionais públicas, com finalidade informativa.

Além de se manter informado, você pode aprofundar seus conhecimentos em nossos guias de compra, onde comparamos as melhores opções do mercado para facilitar sua escolha. Para uma análise técnica, confira nossas reviews completas com testes reais de desempenho. E se você está em busca do melhor preço, não deixe de acompanhar nossa seleção de ofertas e descontos atualizados diariamente nas principais lojas.

Artigos relacionados

💬