El esquema fraudulento disfrazado de asistente comercial está ganando impulso.
Investigadores en el campo de la ciberseguridad han descubierto un nuevo malware llamado «CryptoAITools», disfrazado como una herramienta de comercio de criptomonedas. El programa está diseñado para robar datos y vaciar las billeteras de criptomonedas de los usuarios. Se distribuyó a través de repositorios populares, como Python Package Index (PyPI) y páginas falsas en GitHub, donde fue descargado más de 1300 veces antes de ser eliminado completamente.
Expertos de la compañía Checkmarx informaron que el malware se activa inmediatamente después de la instalación, apuntando a sistemas operativos Windows y macOS. Los usuarios ven una interfaz gráfica falsa que distrae la atención mientras el programa roba datos en segundo plano. El código malicioso, oculto en el archivo «__init__.py», detecta automáticamente el sistema operativo del dispositivo y descarga la versión correspondiente del programa para su ejecución posterior.
El programa descarga componentes maliciosos adicionales desde un sitio falso, «coinsw[.]app», que supuestamente ofrece un servicio de comercio de criptomonedas. Este enfoque permite a los hackers no solo ocultar sus acciones, sino también actualizar continuamente las funciones del programa, modificando los archivos maliciosos descargados.
La característica clave del malware es la instalación falsa, que enmascara el proceso de robo de datos. El código malicioso recopila activamente información confidencial, incluyendo datos de billeteras de criptomonedas (Bitcoin, Ethereum, etc.), contraseñas guardadas, cookies, historial del navegador, datos de extensiones de criptomonedas, claves SSH y archivos que contienen información financiera. En el caso de dispositivos macOS, el programa también recopila notas de las aplicaciones Apple Notes y Stickies, luego envía toda la información a un servicio externo gofile[.]io y elimina las copias locales.
Checkmarx también identificó que un malware similar se distribuye a través de GitHub bajo el nombre de un bot «Meme Token Hunter Bot», supuestamente basado en inteligencia artificial para rastrear tokens de memes en la blockchain de Solana. También se mantiene un canal de Telegram, donde los autores ofrecen suscripciones y soporte técnico a posibles víctimas.
El enfoque que abarca múltiples plataformas permite a los atacantes llegar a una audiencia más amplia, lo que crea riesgos graves para muchos propietarios de criptomonedas, ampliando el alcance del ataque y dificultando su detección.