Pesquisadores de cibersegurança detalharam o funcionamento interno do malware ladrão de criptomoedas que foi distribuído por meio de 13 pacotes NuGet maliciosos como parte de um ataque de cadeia de suprimentos direcionado a desenvolvedores .NET.
A sofisticada campanha de typosquatting, que foi detalhada pela JFrog no mês passado, impessoal pacotes legítimos para executar código PowerShell projetado para recuperar um binário de acompanhamento de um servidor codificado.
O ataque de duas etapas culmina na implantação de um backdoor persistente baseado em .NET, chamado Impala Stealer, capaz de obter acesso não autorizado às contas de criptomoedas dos usuários.
".NET AoT compilation" é uma técnica de otimização que permite que aplicativos sejam compilados antes do tempo em código nativo.
Os aplicativos nativos AOT também têm um tempo de inicialização mais rápido e pegadas de memória menores e podem ser executados em uma máquina sem o tempo de execução .NET instalado.
O payload usa uma técnica de ofuscação muito rara, chamada ".NET AoT compilation", que é muito mais furtiva do que usar ofuscadores "prontos para uso", tornando o binário difícil de engenharia reversa.
O segundo payload inclui um mecanismo de atualização automática que permite recuperar novas versões do executável de um local remoto.
Ele também alcança a persistência injetando código JavaScript nos aplicativos Discord ou Microsoft Visual Studio Code, ativando o lançamento do binário ladrão.
O binário então prossegue para procurar a instalação do aplicativo de desktop Exodus Wallet e insere código JavaScript em vários arquivos HTML para colher e exfiltrar dados sensíveis para um webhook Discord codificado.
O trecho de JavaScript é recuperado de um site de colagem on-line de onde já foi excluído.
Dito isso, suspeita-se que o código possa ter sido usado para roubar credenciais de usuário e acessar outras informações de interesse.
"Os atores mal-intencionados usaram técnicas de typosquatting para implantar um payload malicioso personalizada [...] que visa a carteira de criptomoedas Exodus e vaza as credenciais da vítima para trocas de criptomoedas, usando injeção de código", disse Shachar Menashe, diretor sênior da JFrog Security Research.
As descobertas surgem quando um pacote npm malicioso chamado mathjs-min foi descoberto, carregado no repositório em 26 de março de 2023 e encontrado para abrigar um ladrão de credenciais que pega senhas do Discord do aplicativo oficial, bem como navegadores da web como Google Chrome, Brave e Ópera.
"Este pacote é na verdade uma versão modificada da amplamente utilizada biblioteca de matemática JavaScript mathjs e foi injetado com código malicioso após ser bifurcado", disse a empresa de segurança da cadeia de suprimentos de software.
"A versão modificada foi então publicada no NPM com a intenção de passá-la como uma versão minificada da biblioteca genuína mathjs".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...