Palo Alto Networks®, société spécialisée dans les services de sécurité a découvert une nouvelle famille de logiciels malveillants nommée “PWOBot” Ceux-ci sont assez uniques car ils sont entièrement écrits en Python, et compilés par PyInstaller pour générer un exécutable Microsoft Windows. Ce type de malware a déjà touché un certain nombre d’organisations et de sociétés basées en Europe, en particulier en Pologne, au Danemark et en France. En outre, le malware se répand via un service Web de partage de fichiers polonais très populaire.
Le malware lui-même offre une multitude de fonctionnalités, y compris la possibilité de télécharger et d’exécuter des fichiers, d’exécuter du code Python, des frappes, de communiquer avec un serveur HTTP, et de soutirer des Bitcoins par l’intermédiaire des processeurs et GPU de la victime.
Il y a au moins 12 variantes de PWOBot, et le malware semble sévir et distiller ses attaques depuis fin 2013. Les attaques les plus récentes et significatives ont été observées de la mi à la fin d’année 2015. Au cours de l’année écoulée, nous avons été témoins de PWOBot affectant les organisations suivantes:
- Organisme de recherche polonais dans le secteur public
- Société polonaise de transport
- Grand détaillant polonais
- Société d’informatique polonaise
- Société de construction danoise
- Fournisseur Français de matériel optique
La majorité des échantillons de PWOBot ont été téléchargés à partir de chomikuj.pl, service Web de partage de fichiers polonais bien connu.