WhiteSnake: il malware che controlla il tuo computer tramite TOR

Redazione RHC : 30 Gennaio 2024 16:57

Il team Fortinet FortiGuard Labs ha scoperto pacchetti dannosi nel repository Python Package Index (PyPI) che distribuiscono WhiteSnake Stealer.

I pacchetti contenenti i malware si chiamano nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends e TestLibs111. Sono stati caricati da un utente malintenzionato chiamato “WS”. I pacchetti includono codice sorgente codificato Base64 per PE (Portable Executable) o altri script Python nei file setup.py. Questo codice viene attivato quando i pacchetti vengono installati sui computer degli utenti.

Sui sistemi Windows, il virus WhiteSnake Stealer ruba informazioni e sui sistemi Linux avvia uno script Python per raccogliere dati. L’attacco prende di mira principalmente gli utenti Windows ed è collegato a una campagna precedentemente segnalata da JFrog e Checkmarx .

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta Red Hot Cyber attraverso:

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il payload specifico per Windows è stato identificato come una variante del malware WhiteSnake. Questo dispone di un meccanismo anti-virtual machine che comunica con un server di comando e controllo (C2). La comunicazione avviene tramite il protocollo Tor ed è anche in grado di rubare informazioni alla vittima ed eseguire comandi.

WhiteSnake Stealer raccoglie anche dati da browser Web, portafogli di criptovaluta e applicazioni come WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal e Telegram.

Checkmarx attribuisce la campagna a un autore di minacce con lo pseudonimo PYTA31. Afferma che l’obiettivo finale dell’aggressore è esfiltrare dati sensibili dalle macchine prese di mira.

Alcuni dei pacchetti dannosi includono una funzionalità clipper che consente di sostituire il contenuto degli appunti con gli indirizzi dei portafogli degli aggressori per eseguire transazioni non autorizzate. Altri pacchetti mirano a rubare dati da browser, applicazioni e servizi crittografici.

Fortinet sottolinea che questa scoperta dimostra la capacità di un singolo autore di malware di distribuire più pacchetti e rubare informazioni nella libreria PyPI.

IOCs

File	Hash (sha256)	Detection
nigpal-0.1 setup.py	c53d1387864ea3034bc4e19af492b3e67147d3fdc1d8b9752e24600d6919e3af	PYTHON/Agent.c51b!tr
nigpal payload (PE)	ab75ea75d1fe5bc51ecef274a95f7b835b09a0c7c95c4227366a3d64b5dee7c0	MSIL/WhiteSnake.C!tr
nigpal payload (Python)	24e07dd8c4a6fb92d842ebc168a40505bbd0421a16c13a06571910ca7a40a5a5	PYTHON/Agent.7f73!tr
figflix-0.1 setup.py	41ff3fedb78c672c6d0e5e849f81c8be10c0767558fcfdf6f529215556354d9e	PYTHON/Agent.c51b!tr
figflix-0.2 setup.py	377e8ca04aed57a10b350d9eb4a6e64818bb69b790f33db4be0fd22589c435ad	PYTHON/Agent.c51b!tr
figflix payload (PE)	34e5bd67fbd9a7040dca9cae90e36013aaeda1940bb39e7fcd5d5fa9c85cadc8	MSIL/WhiteSnake.C!tr
figflix payload (Python)	b2bf755c4e1336f5ab36bc679d4a86e4c0d4da7b33a26b9ec8c01e179027f66b	PYTHON/Agent.7f73!tr
telerer-2.0 setup.py	3dcff80475ebfb9a3aa93f3cebd8f008ea64d857a7c53719f1ca047dfd050e1c	PYTHON/Agent.c51b!tr
telerer-2.1 setup.py	dc5b74c1007bbe9acce3cddf30870766867b40e7d37264b7bdaf3b5f40747c10	PYTHON/Agent.c51b!tr
telerer-2.2 setup.py	f1f6501a97b9145d8dd755d25a39c1803fe54995a39fd59b2914f591d56bdc68	PYTHON/Agent.c51b!tr
telerer-2.3 setup.py	8bdc674e3a41370a2d0a997b6ca673c6d646ed580400af242980a5ec374864a2	PYTHON/Agent.c51b!tr
telerer payload	4fac457f8170e26643d0a4d8a0199e93d72872e1799e95f5c522a50754982079	W32/Kryptik.HTVT!tr
seGMM-1.3.1 setup.py	ef0e1a8378d1dd9e3cfd0d59d1969b618e15ddb4bbfaf50057670842004346e8	PYTHON/Agent.c51b!tr
seGMM-3.1.1 setup.py	6fe87ab0590229d11f2d174bcf13cfbaca6f6c9dc55af84527c96de16c12c799	PYTHON/Agent.c51b!tr
seGMM payload	4fac457f8170e26643d0a4d8a0199e93d72872e1799e95f5c522a50754982079	W32/Kryptik.HTVT!tr
fbdebug-0.1 setup.py	da0c21c66fd0dc42b1bcb06c9bd0d7e48b1b866720229712df64410eebd62199	PYTHON/Agent.c51b!tr
fbdebug payload (PE)	d9568da21005794d80eb6572ccce47cc766ba5fe24b2b82cd4ff2cf05d8531a2	MSIL/WhiteSnake.C!tr
fbdebug payload (Python)	ec9e1342b0bddbd0ef65cd37a751b3a8c3c8170cdd8cce0f0fb6815b6be26a45	PYTHON/Agent.7f73!tr
sGMM-1.3.2 setup.py	8fb72c3a6a5d96f91c3dc46541331ebf0a6cf326d2353ab6f2b1c119e9907670	PYTHON/Agent.c51b!tr
sGMM payload	94be6da31c5f896017af733a44b9ea00abbb35bce0a8dbcab776367234e4d818	W32/ClipBanker.DE!tr
myGens-1.0 setup.py	f22110ea2376082651f5f0724875e6f9d083e2be0688dc06b59206c35fa50def	PYTHON/Agent.c51b!tr
myGens payload	03a1621af484ff8f5c1797b25426bab656b6731dba43e31fe58fc1f1963d8484	MSIL/Agent.ERW!tr.spy
NewGends-1.3 setup.py	857bc70fb5968b9f5e257e41f4be9cdd8c7135314bf6200e2cf5b60186401e7a	PYTHON/Agent.c51b!tr
NewGends payload	03a1621af484ff8f5c1797b25426bab656b6731dba43e31fe58fc1f1963d8484	MSIL/Agent.ERW!tr.spy
TestLibs111-1.4 setup.py	c9e0b8c6c5140acae2b3bf003d9ae2a69abf04253b0bd932ec97c732a4b9bf97	PYTHON/Agent.c51b!tr
TestLibs111-1.5 setup.py	0e13bb49aba0878b919bc0980ce2e9e3cfa876387fcedf5af41235ab0f7a440a	PYTHON/Agent.c51b!tr
TestLibs111-1.7 setup.py	14cd40cce030bfca6a4c06fdadd353b5eaa092e7f73ba65308afedc04270c9b9	PYTHON/Agent.c51b!tr
TestLibs111 payload	2b617277fc551b7500867ee009a0f80cbe6d5ee729bdfbf9b4f9d52164811082	W32/Agent.ORR!tr.pws

IP Address

194[.]36[.]177[.]30

95[.]140[.]147[.]126[:]8080

78[.]46[.]66[.]9[:]8080

116[.]203[.]194[.]247[:]8080

206[.]189[.]109[.]146[:]80

217[.]145[.]238[.]175[:]80

164[.]90[.]185[.]9[:]443

185[.]216[.]26[.]127[:]8080

94[.]156[.]6[.]209[:]80

185[.]217[.]98[.]121[:]443

185[.]217[.]98[.]121[:]80

192[.]99[.]44[.]107[:]8080

52[.]86[.]18[.]77[:]8080

18[.]218[.]18[.]183[:]80

192[.]99[.]196[.]191[:]443

216[.]250[.]190[.]139[:]80

24[.]199[.]110[.]250[:]8080

35[.]166[.]49[.]216[:]8080

5[.]78[.]68[.]6[:]8009

44[.]228[.]161[.]50[:]443

162[.]33[.]178[.]113[:]80

103[.]226[.]125[.]218[:]80

106[.]15[.]66[.]6[:]8080

121[.]63[.]250[.]132[:]88

18[.]228[.]80[.]130[:]80

65[.]20[.]76[.]112[:]80

47[.]96[.]78[.]224[:]8080

216[.]39[.]242[.]18[:]8080

129[.]151[.]109[.]160[:]8080

168[.]138[.]211[.]88[:]8099

139[.]99[.]123[.]53[:]9191

54[.]92[.]18[.]154[:]443

135[.]181[.]98[.]45[:]8888

65[.]108[.]226[.]108[:]8080

45[.]155[.]171[.]134[:]8080

141[.]94[.]175[.]31[:]8098

116[.]202[.]101[.]219[:]8080

129[.]159[.]134[.]19[:]8080

107[.]161[.]20[.]142[:]8080

3[.]142[.]76[.]113[:]80

104[.]184[.]140[.]41[:]9000

205[.]185[.]123[.]66[:]8080

154[.]31[.]165[.]232[:]80

139[.]84[.]231[.]199[:]8080

103[.]244[.]151[.]46[:]8080

52[.]196[.]241[.]27[:]443

13[.]112[.]250[.]213[:]443

189[.]115[.]63[.]77[:]8080

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

La Russia e il Cybercrimine: un equilibrio tra repressione selettiva e interesse statale

Di Ada Spinelli - 24/10/2025

L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...

Violato il sito della FIA: esposti i dati personali di Max Verstappen e di oltre 7.000 piloti

Di Redazione RHC - 24/10/2025

I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...

Intelligenza Artificiale Generale AGI: definito il primo standard globale per misurarla

Di Redazione RHC - 23/10/2025

Il 21 ottobre 2025, un gruppo internazionale di ricercatori provenienti da 29 istituzioni di prestigio – tra cui Stanford University, MIT e Università della California, Berkeley – ha completato u...

Fastweb conferma il problema e fornisce una dichiarazione ufficiale

Di Redazione RHC - 22/10/2025

Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...

Malfunzionamento Fastweb: migliaia di utenti senza connessione Internet

Di Redazione RHC - 22/10/2025

Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...