Investigadores de ciberseguridad han descubierto un nuevo paquete Python malicioso que se hace pasar por una herramienta de comercio de criptomonedas pero alberga una funcionalidad dise\u00f1ada para robar datos confidenciales y drenar activos de las billeteras criptogr\u00e1ficas de las v\u00edctimas.<\/p>\n
Se dice que el paquete, llamado “CryptoAITools”, se distribuy\u00f3 a trav\u00e9s de Python Package Index (PyPI) y repositorios falsos de GitHub. Fue descargado<\/a> m\u00e1s de 1300 veces antes de ser eliminado en PyPI.<\/p>\n “El malware se activ\u00f3 autom\u00e1ticamente tras la instalaci\u00f3n y apunt\u00f3 a los sistemas operativos Windows y macOS”, dijo Checkmarx en un nuevo informe compartido con The Hacker News. “Se utiliz\u00f3 una interfaz gr\u00e1fica de usuario (GUI) enga\u00f1osa para distraer a vic4ms mientras el malware realizaba sus actividades maliciosas en segundo plano”.<\/p>\n El paquete est\u00e1 dise\u00f1ado para desencadenar su comportamiento malicioso inmediatamente despu\u00e9s de la instalaci\u00f3n mediante un c\u00f3digo inyectado en su archivo “__init__.py” que primero determina si el sistema de destino es Windows o macOS para ejecutar la versi\u00f3n apropiada del malware.<\/p>\n Dentro del c\u00f3digo hay una funcionalidad auxiliar que es responsable de descargar y ejecutar cargas \u00fatiles adicionales, iniciando as\u00ed un proceso de infecci\u00f3n de varias etapas.<\/p>\n Espec\u00edficamente, las cargas \u00fatiles se descargan de un sitio web falso (“monedasw[.]aplicaci\u00f3n<\/a>“) que anuncia un servicio de robot de comercio de criptomonedas, pero en realidad es un intento de darle al dominio una apariencia de legitimidad en caso de que un desarrollador decida navegar hasta \u00e9l directamente en un navegador web.<\/p>\n Este enfoque no s\u00f3lo ayuda al actor de la amenaza a evadir la detecci\u00f3n, sino que tambi\u00e9n le permite ampliar las capacidades del malware a voluntad simplemente modificando las cargas alojadas en el sitio web de apariencia leg\u00edtima.<\/p>\n Un aspecto notable del proceso de infecci\u00f3n es la incorporaci\u00f3n de un componente GUI que sirve para distraer a las v\u00edctimas mediante un proceso de configuraci\u00f3n falso mientras el malware recopila de forma encubierta datos confidenciales de los sistemas.<\/p>\n “El malware CryptoAITools lleva a cabo una extensa operaci\u00f3n de robo de datos, apuntando a una amplia gama de informaci\u00f3n confidencial en el sistema infectado”, dijo Checkmarx. “El objetivo principal es recopilar cualquier dato que pueda ayudar al atacante a robar activos de criptomonedas”.<\/p>\n Esto incluye datos de billeteras de criptomonedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), contrase\u00f1as guardadas, cookies, historial de navegaci\u00f3n, extensiones de criptomonedas, claves SSH, archivos almacenados en Descargas, Documentos, directorios de escritorio que hacen referencia a criptomonedas, contrase\u00f1as, e informaci\u00f3n financiera, y Telegram.<\/p>\n En las m\u00e1quinas Apple macOS, el ladr\u00f3n tambi\u00e9n toma la medida de recopilar datos de las aplicaciones Apple Notes y Stickies. La informaci\u00f3n recopilada finalmente se carga en el gofile.[.]Servicio de transferencia de archivos io, despu\u00e9s del cual se elimina la copia local.<\/p>\n Checkmarx dijo que tambi\u00e9n descubri\u00f3 que el actor de amenazas distribu\u00eda el mismo malware ladr\u00f3n a trav\u00e9s de un repositorio de GitHub llamado Meme Token Hunter Bot<\/a> que afirma ser “un robot comercial impulsado por IA que enumera todos los tokens meme en la red Solana y realiza transacciones en tiempo real una vez que se consideran seguros”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Investigadores-descubren-un-paquete-Python-dirigido-a-carteras-criptograficas-con.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n