Disgrasya: как невидимый стилер маскировался под обычную библиотеку Python

На платформе PyPI вновь обнаружены вредоносные Python-библиотеки, предназначенные для кражи конфиденциальных данных и автоматической проверки украденных банковских карт. Общая популярность этих пакетов превысила 39 тысяч загрузок до момента удаления.

По информации ReversingLabs, две вредоносные библиотеки, получившие названия bitcoinlibdbfix и bitcoinlib-dev, были замаскированы под исправления для легитимного модуля bitcoinlib. Третья — disgrasya — выявлена исследователями Socket как полноценный инструмент кардера, нацеленный на интернет-магазины, работающие на WooCommerce.

Согласно статистике pepy.tech, количество скачиваний поражает масштабом: disgrasya загрузили более 37 тысяч раз, bitcoinlibdbfix — свыше тысячи, а bitcoinlib-dev — около 700. Несмотря на внешнюю схожесть с настоящим программным обеспечением, вредоносные пакеты перезаписывали команду «clw cli», подменяя её вредоносным кодом, который вытягивал чувствительные файлы баз данных.

Создатели поддельных библиотек даже пытались ввести пользователей в заблуждение, участвуя в обсуждениях на GitHub и предлагая загрузить фальшивое «обновление». Однако обман не удался, и пакеты были удалены, как только их природа была раскрыта.

Особый интерес вызывает disgrasya, не пытавшаяся скрывать свои злонамеренные функции. В версии 7.36.9 был добавлен вредоносный скрипт, который сохранялся во всех последующих обновлениях. Скрипт выполнял проверку действительности украденных карт, имитируя поведение обычного покупателя в онлайн-магазине.

Такой подход позволял атакующим обойти механизмы защиты от мошенничества, ведь скрипт программно находил товар, добавлял его в корзину, переходил к оформлению заказа и заполнял форму платежа случайными данными вместе с украденной информацией банковской карты. Вся собранная информация, включая номер карты, срок действия и CVV, отправлялась на внешний сервер под контролем злоумышленников.

Для сбора украденных данных использовался домен «railgunmisaka[.]com». Тем самым disgrasya выступала как модуль в более широких схемах автоматизации, облегчая массовое тестирование похищенных карт. Сами карты, как правило, поступают с подпольных форумов, где торгуют данными, полученными в результате фишинга, скримминга или применения вредоносного ПО.

После проверки на активность карты используются для покупки подарочных или предоплаченных карт, которые затем прибыльно продаются. Чтобы избежать блокировки, мошенники предпочитают начинать с незначительных покупок, не вызывающих подозрений у владельцев карт или у платёжных систем.

Название disgrasya, по мнению команды Socket, неслучайно выбрано разработчиком. В филиппинском сленге оно означает «несчастье» или «аварию» и точно отражает разрушительное поведение пакета, который под видом обычной библиотеки выполняет полноценную атаку, встроенную в привычный процесс онлайн-покупки.