Kártékony Python-csomag az Instagram felhasználók ellen

A Socket biztonsági kutatócsapata egy újabb, kifejezetten aggasztó fenyegetésre hívta fel a figyelmet: egy imad213 nevű rosszindulatú Python-csomag jelent meg, amely Instagram felhasználók biztonságát veszélyezteti, miközben hamisan követőnövelő eszközként tünteti fel magát.

Álcázott veszélyforrás: mit rejt az „IMAD-213”?

A támadó – akit az im_ad__213 felhasználó névvel és a madmadimado59@gmail[.]com e-mail címmel kapcsoltak össze – egy „IMAD-213” névre hallgató eszközt hozott létre. Ez a csomag első ránézésre professzionális Instagram növekedést kínáló eszköznek tűnik, amit részletes telepítési útmutatóval és egy igényesen megírt GitHub README fájl segítségével népszerűsítettek. Az eszközt főként fórumokon és Discord szervereken keresztül terjesztették, ahol a gyors és látványos közösségi média növekedés ígéretével próbálták megnyerni az érdeklődőket.

Téves biztonsági érzet és adatlopás

Az imad213 különösen megtévesztő technikákat alkalmazott: biztonsági tanácsokat kínált (például ideiglenes fiók használatát javasolta), hogy eloszlassa a gyanút, és bizalmat keltsen a felhasználókban. A csomag futtatásakor kapcsolatba lép egy Netlify-alapú távoli szerverrel – pontosabban a https://imad-213-imad21[.]netlify[.]app/pass[.]txt címen –, hogy ellenőrizze, folytathatja-e a működést. Ez a „remote kill switch” funkció teljes irányítást biztosít a támadó számára. Ha a kapcsolat engedélyezett, a szoftver Instagram bejelentkezési adatokat kér a felhasználótól „szolgáltatási célokra”. Ezeket az adatokat helyben, titkosítás nélkül, credentials.txt nevű fájlban tárolja – ami szándékosan megtévesztő és a bizalom kiépítését célozza.

Adatlopás botnet-hálózaton keresztül

Az igazi veszély azonban a következő lépésben rejlik: a megszerzett adatokat az eszköz automatikusan továbbítja egy tíz weboldalból álló törökországhoz köthető bot hálózat felé. Ezek az oldalak – például takipcimx[.]net és takipcizen[.]com – valójában adathalász szolgáltatások. A Socket riportja alapján ezek a weboldalak több éve aktívak, közös WHOIS adatokkal és regisztrátorral rendelkeznek. A VirusTotal biztonsági platform több ilyen oldalt is adathalász tevékenységgel azonosított. A hálózat célja, hogy az ellopott adatokat több végpontra szórva szinte követhetetlenné tegye az adatok eredetét, ezzel súlyosbítva a fiókvesztés kockázatát.

Komplex, hosszú távú támadás

Az imad213 csupán egy része egy nagyobb, jól szervezett kiberfenyegetési kampánynak. A háttérben feltehetően ugyanaz az elkövető áll, aki korábban már hasonló eszközöket – mint például a taya és a poppo213 – is létrehozott. Ezek közös jellemzői a hasonló kódbázis, arculat és működési mechanizmus. Külön aggasztó, hogy a támadó legitim felhőszolgáltatásokat – mint a Netlify – használ a parancs- és vezérlő infrastruktúra működtetéséhez. Ez megnehezíti a hagyományos biztonsági rendszerek számára a fenyegetés felismerését. A social engineering technikák is egyre kifinomultabbá válnak: a jövőben például hamis kétfaktoros hitelesítési kérések is megjelenhetnek, amelyek további érzékeny adatokat csalogathatnak ki a felhasználóktól.

Kockázatok és következmények

Az Instagram hivatalos szabályzata szigorúan tiltja a mesterséges követőnövelő eszközök használatát. Az ilyen szoftverek használata nemcsak az adatok elvesztésével, hanem a fiók felfüggesztésével is járhat. Továbbá a támadás kiterjeszthető más platformokra is, beleértve a TikTokot, YouTube-ot vagy akár online játékok fiókjait, mivel sok felhasználó ugyanazokat a jelszavakat használja több helyen.

Védekezési lehetőségek és figyelmeztetés

Az eset rávilágít arra, mennyire fontos a tudatos, óvatos online viselkedés: soha ne adjunk meg érzékeny adatokat kétes eredetű applikációkban, weboldalakon és egyéb harmadik féltől származó programokban még akkor sem, ha azok hitelesnek tűnnek!

Fenyegetési indikátorok (Indicators of Compromise – IOCs)

Típus Indikátor Leírás
Csomag neve imad213 Kártékony Python-csomag
Támadó azonosítója im_ad__213 A csomag készítője
E-mail madmadimado59@gmail[.]com A támadóval kapcsolatos cím
Vezérlő URL https://imad-213-imad21[.]netlify[.]app/pass.txt Távoli kill switch fájl
Helyi fájl credentials.txt Bejelentkezési adatok mentése szövegfájlba
Kártékony domainek takipcimx[.]net, takipcizen[.]com, stb. Adathalász célú bot szolgáltatások

(gbhackers)