Pesquisadores de cibersegurança descobriram um novo pacote malicioso em Python que se disfarça como uma ferramenta de negociação de criptomoedas, mas que possui funcionalidades projetadas para roubar dados sensíveis e esvaziar os ativos das carteiras de cripto dos vítimas.
O pacote, chamado "CryptoAITools", teria sido distribuído via Python Package Index (PyPI) e repositórios falsos no GitHub.
Ele foi baixado mais de 1.300 vezes antes de ser retirado do PyPI.
"O malware é ativado automaticamente após a instalação, visando os sistemas operacionais Windows e macOS", disse Checkmarx em um novo relatório compartilhado.
"Uma interface gráfica do usuário (GUI) enganosa foi usada para distrair as vítimas enquanto o malware realizava suas atividades maliciosas em segundo plano." O pacote é projetado para liberar seu comportamento malicioso imediatamente após a instalação, por meio de código injetado em seu arquivo "__init__.py" que primeiro determina se o sistema alvo é Windows ou macOS para executar a versão apropriada do malware.
Presente no código está uma funcionalidade auxiliar responsável por baixar e executar payloads adicionais, dando início a um processo de infecção de várias etapas.
Especificamente, os payloads são baixadas de um site falso ("coinsw[.]app") que anuncia um serviço de bot de negociação de criptomoedas, mas é, de fato, uma tentativa de dar ao domínio uma aparência de legitimidade, caso um desenvolvedor decida navegar até ele diretamente em um navegador web.
Essa abordagem não apenas ajuda o ator de ameaças a evitar a detecção, mas também permite que eles expandam as capacidades do malware à vontade, simplesmente modificando os payloads hospedados no site de aparência legítima.
Um aspecto notável do processo de infecção é a incorporação de um componente GUI que serve para distrair as vítimas por meio de um falso processo de configuração enquanto o malware está secretamente coletando dados sensíveis dos sistemas.
"O malware CryptoAITools conduz uma operação extensiva de roubo de dados, visando uma ampla gama de informações sensíveis no sistema infectado", disse Checkmarx.
"O objetivo principal é reunir quaisquer dados que possam ajudar o atacante a roubar ativos de criptomoeda." Isso inclui dados de carteiras de criptomoedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), senhas salvas, cookies, histórico de navegação, extensões de criptomoeda, chaves SSH, arquivos armazenados em diretórios de Downloads, Documentos, Desktop que referenciam criptomoedas, senhas e informações financeiras, e Telegram.
Em máquinas Apple macOS, o ladrão também coleta dados dos aplicativos Apple Notes e Stickies.
As informações coletadas são finalmente carregadas para o serviço de transferência de arquivos gofile[.]io, após o qual a cópia local é deletada.
Checkmarx disse também ter descoberto o ator de ameaça distribuindo o mesmo malware ladrão por meio de um repositório no GitHub chamado Meme Token Hunter Bot, que afirma ser "um bot de negociação alimentado por IA que lista todos os tokens meme na rede Solana e realiza negociações em tempo real assim que são considerados seguros."
Isso indica que a campanha também está alvejando usuários de criptomoedas que optam por clonar e executar o código diretamente do GitHub.
O repositório, que ainda está ativo no momento da escrita, foi bifurcado uma vez e recebeu dez estrelas.
Também gerido pelos operadores é um canal no Telegram que promove o repositório no GitHub mencionado, além de oferecer assinaturas mensais e suporte técnico.
"Essa abordagem multiplataforma permite que o atacante lance uma rede ampla, potencialmente alcançando vítimas que podem ser cautelosas em relação a uma plataforma, mas confiam em outra", disse Checkmarx.
A campanha de malware CryptoAITools tem graves consequências para as vítimas e a comunidade de criptomoedas em geral.
Usuários que deram estrela ou bifurcaram o repositório malicioso 'Meme-Token-Hunter-Bot' são vítimas em potencial, expandindo significativamente o alcance do ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...