Los investigadores de ciberseguridad han marcado dos paquetes maliciosos que se cargaron en el repositorio Python Package Index (PyPI) y venían equipados con capacidades para exfiltrar información confidencial de los hosts comprometidos, según nuevos hallazgos de Fortinet FortiGuard Labs.
Los paquetes, denominados zebo y cometlogger , atrajeron 118 y 164 descargas cada uno, antes de que los eliminaran. Según las estadísticas de ClickPy, la mayoría de estas descargas procedían de Estados Unidos, China, Rusia e India.
Zebo es un «ejemplo típico de malware, con funciones diseñadas para vigilancia, exfiltración de datos y control no autorizado», dijo la investigadora de seguridad Jenna Wang, y agregó que cometlogger «también muestra signos de comportamiento malicioso, incluida la manipulación dinámica de archivos, inyección de webhook, robo de información y controles anti-[máquinas virtuales]».
El primero de los dos paquetes, zebo, utiliza técnicas de ofuscación, como cadenas codificadas en hexadecimal, para ocultar la URL del servidor de comando y control (C2) con el que se comunica a través de solicitudes HTTP.
También incluye una serie de características para recopilar datos, incluido el uso de la biblioteca pynput para capturar pulsaciones de teclas y ImageGrab para tomar capturas de pantalla periódicamente cada hora y guardarlas en una carpeta local, antes de cargarlas en el servicio gratuito de alojamiento de imágenes ImgBB utilizando una clave API recuperada del servidor C2.
Además de exfiltrar datos confidenciales, el malware configura persistencia en la máquina creando un script por lotes que inicia el código Python y lo agrega a la carpeta de inicio de Windows para que se ejecute automáticamente en cada reinicio.
Cometlogger, por otro lado, está repleto de funciones y extrae una amplia gama de información, incluidas cookies, contraseñas, tokens y datos relacionados con cuentas de aplicaciones como Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify y Roblox.
También es capaz de recopilar metadatos del sistema, información de red y Wi-Fi, una lista de procesos en ejecución y contenido del portapapeles. Además, incorpora controles para evitar la ejecución en entornos virtualizados y finaliza los procesos relacionados con el navegador web para garantizar un acceso sin restricciones a los archivos.
«Al ejecutar tareas de forma asincrónica, el script maximiza la eficiencia y roba grandes cantidades de datos en poco tiempo», dijo Wang.
«Si bien algunas funciones podrían ser parte de una herramienta legítima, la falta de transparencia y la funcionalidad sospechosa hacen que su ejecución sea insegura. Siempre analice el código antes de ejecutarlo y evite interactuar con scripts de fuentes no verificadas».
Fuente y redacción: thehackernews.com
