El malware altamente invasivo dirigido a los desarrolladores de software está circulando una vez más en bibliotecas de códigos troyanizados, y los últimos se descargaron miles de veces en los últimos ocho meses, dijeron investigadores el miércoles.
Desde enero, ocho herramientas de desarrollo independientes han contenido cargas útiles ocultas con varias capacidades nefastas, informó la firma de seguridad Checkmarx. El más reciente fue lanzado el mes pasado con el nombre «pyobfgood». Al igual que los siete paquetes que lo precedieron, pyobfgood se presentó como una herramienta de ofuscación legítima que los desarrolladores podrían utilizar para disuadir la ingeniería inversa y la manipulación de su código. Una vez ejecutado, instaló una carga útil, dando al atacante un control casi completo de la máquina del desarrollador. Las capacidades incluyen:
Exfiltrar información detallada del host
Robar contraseñas del navegador web Chrome
Configurar un registrador de teclas
Descargar archivos del sistema de la víctima.
Capture capturas de pantalla y grabe tanto la pantalla como el audio.
Deje la computadora inoperativa aumentando el uso de la CPU, insertando un script por lotes en el directorio de inicio para apagar la PC o forzando un error BSOD con un script de Python.
Cifrar archivos, potencialmente para pedir rescate
Desactivar Windows Defender y el Administrador de tareas
Ejecute cualquier comando en el host comprometido
En total, pyobfgood y las siete herramientas anteriores se instalaron 2348 veces. Se dirigieron a desarrolladores que utilizan el lenguaje de programación Python. Como ofuscadores, las herramientas apuntaban a los desarrolladores de Python con motivos para mantener su código en secreto porque tenía capacidades ocultas, secretos comerciales o funciones sensibles. Las cargas maliciosas variaban de una herramienta a otra, pero todas destacaban por su nivel de intrusión.
«Los diversos paquetes que examinamos muestran una variedad de comportamientos maliciosos, algunos de los cuales se parecen a los encontrados en el paquete ‘pyobfgood'», escribió en un correo electrónico el investigador de seguridad de Checkmarx, Yehuda Gelb. “Sin embargo, sus funcionalidades no son del todo idénticas. Muchos comparten similitudes, como la capacidad de descargar malware adicional desde una fuente externa y robar datos».
Las ocho herramientas utilizaron la cadena «pyobf» como los primeros cinco caracteres en un intento de imitar herramientas ofuscadoras genuinas como pyobf2 y pyobfuscator. Los otros siete paquetes fueron:
Pyobftoexe
archivo pyobfus
Pyobfejecutar
Pyobfpremium
Pyobvuelo
Pyobfadvance
Pyobfuse
Si bien Checkmarx se centró principalmente en pyobfgood, la compañía proporcionó un cronograma de lanzamiento para los ocho.
Agrandar / Una línea de tiempo que muestra el lanzamiento de las ocho herramientas de ofuscación maliciosas.
jaquemarx
Pyobfgood instaló la funcionalidad del bot que funcionó con un servidor de Discord identificado con la cadena:
No había indicios de que hubiera algún problema en la computadora infectada. Sin embargo, detrás de escena, la carga maliciosa no solo se entrometía en algunos de los momentos más privados del desarrollador, sino que al mismo tiempo se burlaba silenciosamente del desarrollador en los comentarios del código fuente. Checkmarx explicó:
El bot de Discord incluye un comando específico para controlar la cámara de la computadora. Lo logra descargando discretamente un archivo zip desde un servidor remoto, extrayendo su contenido y ejecutando una aplicación llamada WebCamImageSave.exe. Esto permite al robot capturar una foto en secreto usando la cámara web. Luego, la imagen resultante se envía de regreso al canal Discord, sin dejar evidencia de su presencia después de eliminar los archivos descargados.
Agrandar / Una visualización de varios comentarios dejó el código fuente. Entre ellas, «dejar de escuchar música de fondo para [incomplete]»
jaquemarx
Entre estas funciones maliciosas, el humor malicioso del bot emerge a través de mensajes que ridiculizan la inminente destrucción de la máquina comprometida. «Tu computadora va a empezar a quemarse, buena suerte. :)» y «Tu computadora va a morir ahora, buena suerte para recuperarla :)»
Pero bueno, al menos hay un emoticón al final de estos mensajes.
Estos mensajes no sólo resaltan las intenciones maliciosas sino también la audacia de los atacantes.
Agrandar / Más código fuente con comentarios.
jaquemarx
Agrandar / Más comentarios sobre el código fuente.
jaquemarx
Las descargas del paquete provinieron principalmente de EE.UU. (62 por ciento), seguidas de China (12 por ciento) y Rusia (6 por ciento). «Es lógico que los desarrolladores involucrados en la ofuscación de código probablemente estén tratando con información valiosa y sensible y, por lo tanto, para un hacker, esto se traduce en un objetivo que vale la pena perseguir», escribieron los investigadores de Checkmarx.
Esta no es la primera vez que se detecta malware en software de código abierto que imita los nombres de paquetes originales. Uno de los primeros casos documentados se produjo en 2016, cuando un estudiante universitario subió scripts incompletos a RubyGems, PyPi y NPM, que son sitios web comunitarios para desarrolladores de los lenguajes de programación Python, Ruby y JavaScript, respectivamente. Una función de teléfono a casa en los guiones de los estudiantes mostró que el código impostor se ejecutó más de 45.000 veces en más de 17.000 dominios separados, y más de la mitad de las veces su código recibió derechos administrativos todopoderosos. Dos de los dominios afectados terminaban en .mil, una indicación de que personas dentro del ejército estadounidense habían ejecutado su script. Poco después de que esta prueba de concepto demostrara la eficacia de la estrategia, los atacantes del mundo real adoptaron la técnica en una serie de envíos maliciosos de código abierto que continúan hasta el día de hoy. El flujo interminable de ataques debería servir como advertencia y subrayar la importancia de examinar cuidadosamente un paquete antes de permitir que se ejecute.
Las personas que quieran comprobar si han sido atacados pueden buscar en sus máquinas la presencia de cualquiera de los ocho nombres de herramientas, la cadena única del servidor de Discord y las URL hxxps.[:]//transferir[.]sh/get/wDK3Q8WOA9/inicio[.]py y hxxps[:]//www[.]nirsoft[.]net/utils/webcamimagesave.zip.
