Un virus disfrazado de ayuda: una nueva forma de infectar a los desarrolladores en Stack Overflow
Los usuarios sacrifican sus datos al seguir los consejos de otros.
Los delincuentes han encontrado una nueva forma de distribuir software malicioso a través de Stack Overflow: respondiendo a las preguntas de los usuarios, los hackers recomiendan instalar un paquete PyPi malicioso que infecta las computadoras y roba información confidencial.
Sonatype ha descubierto un nuevo paquete PyPi malicioso, relacionado con la ya conocida campaña "Cool package". La campaña, que comenzó el año pasado, está dirigida a los usuarios de Windows y utiliza un paquete llamado "pytoileur".
El paquete fue subido al repositorio PyPi por los delincuentes bajo la apariencia de una herramienta para gestionar API. Es notable que el paquete tenga la firma "Cool package", lo que indica que es parte de la campaña actual.
Los ciberdelincuentes utilizan el método de Typosquatting, dándoles a los paquetes maliciosos nombres similares a los nombres populares para engañar a los usuarios. Esta vez, los atacantes fueron más allá y comenzaron a promover su paquete a través de respuestas a preguntas de usuarios en Stack Overflow, presentando el paquete como una solución para varios problemas.Esta vez, los atacantes fueron más allá y comenzaron a promover su paquete a través de respuestas a preguntas de usuarios en Stack Overflow, presentando el paquete como una solución para varios problemas.
Stack Overflow es una de las mayores plataformas para programadores, lo que la convierte en un entorno ideal para la propagación de programas maliciosos disfrazados de herramientas y bibliotecas útiles.
El paquete "pytoileur" contiene un archivo "setup.py" que oculta un comando cifrado en base64, utilizando la adición de espacios para hacerlo invisible a menos que se active el ajuste de palabras en el editor de texto.
Después de la desofuscación, el comando descarga y ejecuta un archivo ejecutable "runtime.exe" desde un sitio remoto. El archivo es en realidad un programa Python convertido en ".exe" y actúa como un stealer.
El malware recoge cookies, contraseñas, historial del navegador, datos de tarjetas de crédito y otra información de los navegadores web, así como busca frases específicas en los documentos y, si las encuentra, también roba los datos. Toda la información recopilada se envía de vuelta a los delincuentes, quienes pueden venderla en la darknet o usarla para seguir hackeando las cuentas de las víctimas.
Aunque los paquetes maliciosos y los infostealers no son algo nuevo, esta estrategia de los ciberdelincuentes, haciéndose pasar por participantes en Stack Overflow, merece especial atención. Este método permite aprovechar la confianza y el prestigio de la plataforma en la comunidad de desarrolladores.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?