Pesquisadores de segurança cibernética descobriram um novo pacote Python malicioso que se disfarça como uma ferramenta de negociação de criptomoedas, mas abriga funcionalidades projetadas para roubar dados confidenciais e drenar ativos das carteiras criptográficas das vítimas.
Diz-se que o pacote, denominado “CryptoAITools”, foi distribuído por meio do Python Package deal Index (PyPI) e de repositórios falsos do GitHub. Ele foi baixado mais de 1.300 vezes antes de ser retirado do PyPI.
“O malware foi ativado automaticamente após a instalação, visando os sistemas operacionais Home windows e macOS”, disse Checkmarx em um novo relatório compartilhado com o The Hacker Information. “Uma interface gráfica de usuário (GUI) enganosa foi usada para distrair as vítimas enquanto o malware realizava suas ações maliciosas em segundo plano.”
O pacote foi projetado para liberar seu comportamento malicioso imediatamente após a instalação por meio de código injetado em seu arquivo “__init__.py” que primeiro determina se o sistema de destino é Home windows ou macOS para executar a versão apropriada do malware.
Presente no código está uma funcionalidade auxiliar responsável por baixar e executar cargas adicionais, iniciando assim um processo de infecção em vários estágios.
Especificamente, as cargas úteis são baixadas de um website falso (“coinsw(.)app”) que anuncia um serviço de bot de negociação de criptomoedas, mas é na verdade uma tentativa de dar ao domínio uma aparência de legitimidade caso um desenvolvedor decida navegar diretamente até ele em um navegador da net.
Essa abordagem não apenas ajuda o agente da ameaça a evitar a detecção, mas também permite que ele expanda os recursos do malware à vontade, simplesmente modificando as cargas hospedadas no website de aparência legítima.
Um aspecto notável do processo de infecção é a incorporação de um componente GUI que serve para distrair as vítimas por meio de um processo de configuração falso, enquanto o malware coleta secretamente dados confidenciais dos sistemas.
“O malware CryptoAITools conduz uma extensa operação de roubo de dados, visando uma ampla gama de informações confidenciais no sistema infectado”, disse Checkmarx. “O objetivo principal é coletar quaisquer dados que possam ajudar o invasor a roubar ativos de criptomoeda.”
Isso inclui dados de carteiras de criptomoedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, and so forth.), senhas salvas, cookies, histórico de navegação, extensões de criptomoedas, chaves SSH, arquivos armazenados em Downloads, Documentos, diretórios de desktop que fazem referência a criptomoedas, senhas, e informações financeiras e Telegram.
Em máquinas Apple macOS, o ladrão também coleta dados dos aplicativos Apple Notes e Stickies. As informações coletadas são finalmente enviadas para o serviço de transferência de arquivos gofile(.)io, após o qual a cópia native é excluída.
A Checkmarx disse que também descobriu o agente da ameaça distribuindo o mesmo malware ladrão por meio de um repositório GitHub chamado Meme Token Hunter Bot, que afirma ser “um bot comercial com tecnologia de IA que lista todos os tokens meme na rede Solana e realiza negociações em tempo actual assim que eles são considerados seguros.”
Isso indica que a campanha também tem como alvo usuários de criptomoedas que optam por clonar e executar o código diretamente do GitHub. O repositório, que ainda está ativo no momento da escrita, foi bifurcado uma vez e marcado com estrela 10 vezes.
Também administrado pelas operadoras é um canal Telegram que divulga o referido repositório GitHub, além de oferecer assinaturas mensais e suporte técnico.
“Essa abordagem multiplataforma permite que o invasor lance uma rede ampla, atingindo potencialmente vítimas que podem ser cautelosas em relação a uma plataforma, mas confiam em outra”, disse Checkmarx.
“A campanha de malware CryptoAITools tem consequências graves para as vítimas e para a comunidade de criptomoedas em geral. Os usuários que marcaram ou bifurcaram o repositório malicioso ‘Meme-Token-Hunter-Bot’ são vítimas em potencial, expandindo significativamente o alcance do ataque.”