A 8 de Agosto, a CheckPoint publicou um relatório sobre a descoberta de 10 pacotes Python maliciosos em PyPI, o repositório mais comummente utilizado pelos programadores de software. PyPI. No seguimento desta pesquisa, peritos Kaspersky utilizaram o sistema automatizado interno para monitorizar repositórios de código aberto e descobriram 2 pacotes maliciosos ainda mais perigosos no mesmo repositório. Mascarados de um dos mais populares pacotes open-source chamado "requests", roubam dados de carteiras criptográficas, Discord tokens, cookies, e até credenciais da Steam e do Minecraft dos dispositivos das vítimas, afetando potencialmente milhões de utilizadores. 

Fingindo ser um dos pacotes open-source mais populares, apelidado de 'requests', a única diferença em relação aos pacotes maliciosos Python está no nome - 'ultrarequests' e 'pyquest' em vez do nome original. Para enganar as vítimas na instalação de um pacote malicioso, os atacantes utilizaram a descrição de pacotes 'requests' legítimos para falsificar números de instalação de download e revisões de utilizadores. As ligações na descrição também conduzem a páginas reais do pacote de 'requests', bem como ao correio electrónico do seu autor.

Após várias fases de ocultação do guião, os utilizadores recebem um Trojan escrito em Python, apelidado de W4SP Stealer pelo seu autor, em código. O malware pode guardar cookies e passwords de navegadores, recolher dados de carteiras criptográficas populares como MetaMask, Atomic e Exodus, bem como recolher Discord tokens e credenciais da Steam e do Minecraft. Utilizando estes dados, os atacantes podem rapidamente entrar nas contas, e sequestrá-las, drenando as contas das vítimas.

Todos os dados recolhidos são enviados para o operador através de um web hook Discord e entregues num formato de interface personalizado, onde o agressor pode ver rapidamente o e-mail, telefone, IP e informações de facturação da vítima.

Mesmo que a vítima decida alterar o endereço de e-mail, palavra-passe ou informação de facturação para se proteger, o malware continuará a recolher a informação alterada e a enviá-la aos atacantes através do Discord até que o malware seja completamente removido do dispositivo. Os atacantes também inseriram no código um script especial para conseguir persistência no dispositivo infectado. No entanto, os atacantes compilaram código incorrecto, pelo que este método não funciona correctamente, pelo que a persistência não é atingida

O ladrão também analisa o histórico de navegação e depois envia uma lista de credenciais de websites com URLs contendo palavras-chave 'mail', 'card', 'bank', 'buy', 'sell'. Curiosamente, a lista de palavras-chave também contém múltiplas palavras francesas: 'mot de passe' (palavra-chave), 'mdp' (abreviatura de 'mot de passe'), 'banque' (banco), 'compte' (conta), que sugerem que os atacantes estão provavelmente a visar principalmente os utilizadores francófonos.

"Há muito tempo atrás, os programadores aperceberam-se que demora demasiado tempo a escrever código repetitivo para cada repositório criado pela aplicação - plataformas abertas onde qualquer programador pode partilhar pacotes open-source com código para acelerar o processo de desenvolvimento. A sua popularidade e abertura para carregar qualquer pacote torna-os extremamente vulneráveis a ataques de cibercriminosos, uma vez que podem potencialmente afetar milhares de utilizadores de uma só vez. Tais ataques não são incomuns uma vez que - por exemplo - descobrimos recentemente quatro pacotes maliciosos no repositório npm, à procura de Discord Tokens e informações de cartão de crédito. É por isso que tudo o que se descarrega, mesmo repositórios respeitáveis, não é de confiança por defeito", comenta Leonid Bezvershenko, investigador de segurança da Equipa Global de Pesquisa e Análise da Kaspersky.

"Já comunicámos estes pacotes maliciosos à equipa de segurança PyPI e acrescentámos deteções deste malware aos nossos produtos, para que os utilizadores que executam as nossas soluções possam identificar se foram infectados e remover o malware", acrescenta Igor Kuznetsov, investigador chefe de segurança da Equipa Global de Pesquisa e Análise da Kaspersky.

Os produtos Kaspersky detectaram o W4SP stealer como Trojan.Python.Inject.d, Trojan.Python.Agent.gj.

Para saber mais sobre o W4SP Stealer, leia o relatório completo na Securelist.

Classifique este item
(0 votos)
Ler 1027 vezes
Tagged em
Top