Investigadores de ciberseguridad han descubierto un nuevo paquete Python malicioso que se hace pasar por una herramienta de intercambio de criptomonedas pero alberga una funcionalidad diseñada para robar datos confidenciales y drenar activos de las billeteras criptográficas de las víctimas.
El paquete, llamado “CryptoAITools”, supuestamente se distribuyó a través de Python Package Index (PyPI) y repositorios falsos de GitHub. Fue descargado más de 1300 veces antes de ser eliminado en PyPI.
“El malware se activó automáticamente tras la instalación y se dirigió a los sistemas operativos Windows y macOS”, dijo Checkmarx en un nuevo informe compartido con The Hacker News. “Se utilizó una interfaz gráfica de usuario (GUI) engañosa para distraer a las víctimas mientras el malware llevaba a cabo sus acciones maliciosas en segundo plano”.
El paquete está diseñado para desencadenar su comportamiento malicioso inmediatamente después de la instalación mediante un código inyectado en su archivo “__init__.py” que primero determina si el sistema de destino es Windows o macOS para poder ejecutar la versión apropiada del malware.
El código contiene una funcionalidad auxiliar responsable de descargar y ejecutar cargas útiles adicionales, lo que desencadena un proceso de infección de varios pasos.
Específicamente, las cargas útiles se descargan de un sitio web falso (“monedas[.]solicitud“) que anuncia un servicio de robot de comercio de criptomonedas, pero en realidad es un intento de darle al dominio una apariencia de legitimidad si un desarrollador decide acceder a él directamente en un navegador web.
Este enfoque no sólo ayuda al actor de la amenaza a evadir la detección, sino que también le permite ampliar las capacidades del malware a voluntad simplemente modificando las cargas útiles alojadas en el sitio web de apariencia legítima.
Un aspecto notable del proceso de infección es la incorporación de un componente GUI que sirve para distraer a las víctimas mediante un proceso de configuración falso mientras el malware recopila en secreto datos confidenciales de los sistemas.
“El malware CryptoAITools lleva a cabo una extensa operación de robo de datos, dirigida a una amplia gama de información confidencial en el sistema infectado”, dijo Checkmarx. “El objetivo principal es recopilar cualquier dato que pueda ayudar al atacante a robar activos de criptomonedas”.
Esto incluye datos de billeteras de criptomonedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), contraseñas guardadas, cookies, historial de navegación, extensiones de criptomonedas, claves SSH, archivos almacenados en descargas, documentos, directorios de escritorio que hacen referencia a criptomonedas, contraseñas, e información financiera, y Telegram.
En las máquinas Apple macOS, el ladrón también toma la medida de recopilar datos de las aplicaciones Apple Notes y Stickies. La información recopilada finalmente se carga en Gofile.[.]Servicio de transferencia de archivos io, después del cual se elimina la copia local.
Checkmarx dijo que también descubrió al actor malicioso que distribuía el mismo malware de robo a través de un repositorio de GitHub llamado Meme Token Hunter Bot que afirma ser “un robot comercial impulsado por inteligencia artificial que enumera todos los tokens meme en la red Solana y realiza transacciones en tiempo real una vez que se consideran seguros”.
Esto indica que la campaña también está dirigida a usuarios de criptomonedas que eligen clonar y ejecutar código directamente desde GitHub. El repositorio, que todavía está activo en el momento de escribir este artículo, se bifurcó una vez y se reprodujo 10 veces.
Los operadores también administran un canal de Telegram que promueve el repositorio GitHub antes mencionado y ofrece suscripciones mensuales y soporte técnico.
“Este enfoque multiplataforma permite al atacante lanzar una amplia red, potencialmente llegando a víctimas que podrían ser cautelosas con una plataforma pero confiar en otra”, dijo Checkmarx.
“La campaña de malware CryptoAITools tiene graves consecuencias para las víctimas y la comunidad de criptomonedas en general. Los usuarios que lanzaron o crearon el repositorio malicioso ‘Meme-Token-Hunter-Bot’ son víctimas potenciales, lo que amplía significativamente el alcance del ataque”.