La campagna nota come DangerousPassword si sta rapidamente diffondendo online, creando non poca preoccupazione tra addetti ai lavoro e comuni utenti.
L’offensiva infatti, agisce su tutti i principali ambienti desktop attualmente sul mercato, Windows, macOS e Linux, attraverso i malware noti come Python e Node.js.
A tal proposito, i cybercriminali spingono gli utenti a scaricare ed eseguire un file dannoso, ovvero builder.py, teoricamente per gestire codici QR. Una volta installato, questo si rivela il già citato malware Python, capace di raccogliere dati dal sistema infetto e di trasmetterli a un server C2.
In ambiente Windows, il malware scarica uno o più file MSI eseguibili da una fonte esterna durante la trasmissione dei file. Uno di questi file MSI raccoglie le informazioni del dispositivo, mentre l’altro file MSI scarica un ulteriore file DLL (devobj.dll) e lo trasferisce su rdpclip.exe (un programma Windows standard).
DangerousPassword: i rischi legati al malware Python e Node.js
Sui sistemi macOS e Linux, dopo che il malware Python ha raggiunto i dispositivi, le stringhe codificate BASE64 incorporate vengono decodificate ed eseguite come file Python. Dopo aver trasmesso i dettagli del sistema al C2, il malware scarica PythonHTTPBackdoor. In alcuni casi, i ricercatori si sono anche accorti dell’attacco infettando i dispositivi con un altro malware, JokerSpy.
Oltre al malware Python, DangerousPassword occasionalmente include anche l’installazione di altri file dannosi come route.js e request.js. Anche il malware Node.js segue un flusso di attacco simile alla controparte Python.
Per evitare di diventare una delle tante vittime di questa campagna, è importante prevenire in modo efficace una potenziale infezione.
Una grande prudenza quando si tratta di cliccare su link sospetti e, ancor di più, rispetto al download di file (eseguibili e non) risulta fondamentale. Infine, per contrastare DangerousPassword, è di estrema utilità adottare strumenti di protezione specifici, come antivirus, firewall e simili.