Los investigadores de seguridad cibernética de Checkmarx descubrieron más de dos docenas de paquetes maliciosos en PyPI, un repositorio popular para desarrolladores de Python, y publicaron sus hallazgos en un nuevo informe (se abre en una nueva pestaña).
Estos paquetes maliciosos, diseñados para parecerse casi a los paquetes legítimos, intentan engañar a los desarrolladores desprevenidos para que descarguen e instalen el incorrecto y, por lo tanto, distribuyan malware.
Esta práctica se conoce como typosquatting y es muy popular entre los ciberdelincuentes que atacan a los desarrolladores de software.
robos de infostealers
Para ocultar el malware, los atacantes utilizan dos enfoques únicos: esteganografía y polimorfismo.
La esteganografía es la práctica de ocultar código dentro de una imagen, lo que permite a los piratas informáticos propagar código malicioso a través de archivos .JPG y .PNG aparentemente inocentes.
El malware polimórfico, por otro lado, cambia la carga útil con cada instalación, evadiendo con éxito los programas antivirus y otras soluciones de ciberseguridad.
Aquí, los atacantes utilizaron estas técnicas para proporcionar WASP, un ladrón de información capaz de apoderarse de cuentas de Discord, contraseñas, información de billetera de criptomonedas, datos de tarjetas de crédito, así como cualquier otra información en la terminal de la víctima que se considere interesante.
Una vez identificados, los datos se devuelven a los atacantes a través de una dirección de webhook de Discord codificada.
La campaña parece ser un truco de marketing, ya que los investigadores aparentemente detectaron a los actores de amenazas que anuncian la herramienta en la web oscura por € 20 y afirman que es indetectable.
Además, los investigadores creen que este es el mismo grupo que estuvo detrás de un ataque similar informado por primera vez a principios de este mes por investigadores de Phylum (se abre en una pestaña nueva) y de Check Point (se abre en una pestaña nueva). En ese momento, se decía que un grupo denominado Worok había estado distribuyendo DropBoxControl, un ladrón de información personalizado de .NET C# que abusa del alojamiento de archivos de Dropbox para la comunicación y el robo de datos, desde al menos septiembre de 2022.
Учитывая набор инструментов, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит проникать в целевые сети и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не заметили, чтобы кто-то еще их использовал.
Через: Реестр (откроется в новой вкладке)