Uma campanha maliciosa que pesquisadores observaram ficar mais complexa ao longo de seis meses está implementando nas plataformas open-source centenas de pacotes de roubo de informações que contabilizaram cerca de 75.000 downloads.
A campanha vem sendo monitorada desde o início de abril pelos analistas da equipe de Segurança da Cadeia de Suprimentos da Checkmarx, que descobriram 272 pacotes com código para roubar dados sensíveis dos sistemas alvo.
O ataque evoluiu significativamente desde que foi identificado pela primeira vez, com os autores do pacote implementando camadas de ofuscação cada vez mais sofisticadas e técnicas para evadir a detecção.
Os pesquisadores afirmam que começaram a ver um padrão "dentro do ecossistema Python a partir de abril de 2023."
Um exemplo é o arquivo “_init_py”, que carrega apenas após verificar se está executando em um sistema alvo e não em um ambiente virtualizado - um sinal típico de um host de análise de malware.
Uma vez que é lançado, ele direciona as seguintes informações nos sistemas infectados:
Ferramentas de antivírus rodando no dispositivo.
Lista de tarefas, senhas Wi-Fi e informações do sistema.
Credenciais, histórico de navegação, cookies e informações de pagamento armazenadas nos navegadores da web.
Dados em aplicativos de carteira de criptomoedas como Atomic e Exodus.
Emblemas Discord, números de telefone, endereços de email e status nitro.
Dados de usuário do Minecraft e Roblox.
Além disso, o malware pode tirar capturas de tela e roubar arquivos individuais do sistema comprometido, como as pastas de Desktop, Pictures, Documents, Music, Videos e Download.
A área de transferência da vítima também é constantemente monitorada por endereços de criptomoeda e o malware os troca pelo endereço do atacante para desviar pagamentos para carteiras sob seu controle.
Os analistas estimam que a campanha roubou diretamente cerca de $100.000 em criptomoeda.
Checkmarx informa que o malware usado nesta campanha vai além das operações comuns de roubo de informações, realizando manipulação de dados de aplicativos para efetuar um golpe mais decisivo.
Por exemplo, o arquivo eletrônico do aplicativo de gerenciamento de carteira de criptomoedas Exodus é substituído para alterar arquivos básicos, permitindo que os atacantes contornem a Política de Segurança de Conteúdo e exfiltram dados.
No Discord, se certas configurações estiverem habilitadas, o malware injeta código JavaScript que executa quando o cliente é reiniciado.
O malware também usa um script PowerShell em um terminal elevado para manipular os "hosts" do Windows, de forma que os produtos de segurança rodando no dispositivo comprometido não consigam se conectar com seus servidores.
Segundo os pesquisadores, o código malicioso dessa campanha nos pacotes de abril era visivelmente claro, pois era texto simples.
Em maio, no entanto, os autores dos pacotes começaram a adicionar criptografia para dificultar a análise.
Em agosto, o pesquisador notou que ofuscação multicamadas havia sido adicionada aos pacotes.
Em um relatório separado do pesquisador da Checkmarx, Yahuda Gelb, foi mencionado que dois dos pacotes mais recentes usaram nada menos que 70 camadas de ofuscação.
Também em agosto, os desenvolvedores do malware incluíram a capacidade de desativar produtos antivírus, adicionaram Telegram à lista de aplicativos direcionados e introduziram um sistema de exfiltração de dados de fallback.
Os pesquisadores alertam que as comunidades de código aberto e os ecossistemas de desenvolvedores continuam sendo suscetíveis a ataques à cadeia de suprimentos, e atores de ameaças adicionam pacotes maliciosos a repositórios amplamente utilizados e sistemas de controle de versão, como GitHub, ou registradores de pacotes como PyPi e NPM, diariamente.
Os usuários são aconselhados a analisar os projetos e os editores de pacotes em que confiam e a estar atentos à confusão gerada por nomes de pacotes.
Uma lista dos pacotes maliciosos usados nesta campanha está disponível aqui.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...