Investigadores descubren un paquete de Python con código malicioso dirigido a billeteras de criptomonedas – Masterhacks Blog

Investigadores descubren un paquete de Python con código malicioso dirigido a billeteras de criptomonedas

Los expertos en ciberseguridad han identificado un nuevo paquete malicioso en Python que se presenta como una herramienta de comercio de criptomonedas, pero que contiene funciones diseñadas para robar información sensible y vaciar los activos de las billeteras de criptomonedas de las víctimas.

Este paquete, denominado «CryptoAITools,» se ha distribuido a través del Índice de Paquetes de Python (PyPI) y repositorios falsos en GitHub. Se registró más de 1,300 descargas antes de ser eliminado de PyPI.

«El malware se activa de forma automática al instalarse, dirigiéndose a sistemas operativos Windows y macOS. Se utilizó una interfaz gráfica de usuario (GUI) engañosa para distraer a las víctimas mientras el malware llevaba a cabo sus actividades maliciosas en segundo plano», informó Checkmarx en un nuevo reporte.

El paquete está diseñado para llevar a cabo su comportamiento dañino de inmediato tras la instalación, a través de un código insertado en su archivo «init.py,» que primero verifica si el sistema objetivo es Windows o macOS para ejecutar la versión adecuada del malware.

Dentro del código existe una función auxiliar que se encarga de descargar y ejecutar cargas adicionales, iniciando así un proceso de infección en varias etapas.

En particular, las cargas se descargan de un sitio web falso («coinsw[.]app«) que promociona un servicio de bot de trading de criptomonedas, pero que en realidad busca dar una apariencia de legitimidad al dominio si un desarrollador decide acceder directamente a él a través de un navegador web.

Este método no solo ayuda al atacante a evadir la detección, sino que también les permite ampliar las capacidades del malware a voluntad al simplemente modificar las cargas alojadas en el sitio que aparenta ser legítimo.

Un aspecto destacado del proceso de infección es la inclusión de un componente GUI que distrae a las víctimas mediante un falso proceso de instalación, mientras el malware recopila de manera encubierta información sensible de los sistemas.

«El malware CryptoAITools realiza una operación extensa de robo de datos, dirigiéndose a una amplia variedad de información sensible en el sistema afectado. El objetivo principal es recopilar cualquier dato que pueda ayudar al atacante a robar activos de criptomonedas», comentó Checkmarx.

Esto incluye información de billeteras de criptomonedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), contraseñas guardadas, cookies, historial de navegación, extensiones de criptomonedas, claves SSH, y archivos almacenados en las carpetas de Descargas, Documentos y Escritorio que hagan referencia a criptomonedas, así como contraseñas e información financiera, y Telegram.

En dispositivos Apple con macOS, el ladrón también recopila datos de las aplicaciones Apple Notes y Stickies. La información recolectada se carga al servicio de transferencia de archivos gofile[.]io, y luego se elimina la copia local.

Checkmarx también descubrió que el actor de amenazas estaba distribuyendo el mismo malware ladrón a través de un repositorio de GitHub llamado Meme Token Hunter Bot, que se presenta como «un bot de trading impulsado por IA que lista todos los tokens meme en la red Solana y realiza transacciones en tiempo real una vez que son considerados seguros.»

Esto indica que la campaña está apuntando también a usuarios de criptomonedas que deciden clonar y ejecutar el código directamente desde GitHub. El repositorio, que sigue activo al momento de redactar, ha sido bifurcado una vez y ha recibido 10 estrellas.

Además, los operadores gestionan un canal de Telegram que promueve el mencionado repositorio de GitHub, así como ofrece suscripciones mensuales y soporte técnico.

«Este enfoque multiplataforma permite al atacante extender su red, alcanzando potencialmente a víctimas que pueden ser cautelosas en una plataforma pero confiar en otra,» declaró Checkmarx.

«La campaña de malware CryptoAITools tiene consecuencias graves para las víctimas y la comunidad de criptomonedas en general. Los usuarios que dieron estrellas o bifurcaron el repositorio malicioso ‘Meme-Token-Hunter-Bot’ son víctimas potenciales, lo que amplía significativamente el alcance del ataque.»

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *