1300 скачиваний
В основном репозитории проектов для языка Python PyPI обнаружился модульный вредонос, который выдает себя за вспомогательное средство для криптотрейдеров, но на деле крадет данные, связанные с криптоактивами. К тому моменту, как эксперты по кибербезопасности изучили его и обнаружили вредоносную природу, пользователи уже успели скачать пакет более 1300 раз.
По данным экспертов Checkmarx, вредонос CryptoAITools атакует пользователей Windows и macOS. Первое, что он делает, это определяет с помощью файла __init__.py операционную систему и запускает соответствующую версию. Затем он скачивает дополнительные компоненты с сайта coinsw. app, который рекламирует средства автоматизированного трейдинга. Реклама – это просто маскировка на случай, если потенциальная жертва заинтересуется, что это за сайт. Еще одним элементом маскировки является графический пользовательский интерфейс, который отвлекает жертву, пока вредонос в фоновом режиме выкачивает значимую информацию из систем. Как указывается в отчете Checkmarx, злоумышленники пытаются выудить любые данные, которые могли бы помочь им добраться до криптоактивов жертвы.
Вредонос пытается выкачать из зараженной системы сохраненные пароли, файлы cookie, историю браузеров, данные о криптовалютных расширениях для браузеров, SSH-ключи, а также файлы, хранящиеся в разделах «Загрузки», «Документы» и «Рабочий стол» под Windows, которые так или иначе связаны с криптовалютными ресурсами. Не обходит внимание вредонос и каталоги Telegram – и, естественно, сами кошельки.
На машинах под управлением macOS CryptoAITools пытается выжать информацию из приложений Apple Notes и Stickies.
Все собранные данные сохраняются в виде одного файла, который загружается на ресурс gofile.io. Локальная копия удаляется.
И на GitHub тоже
Эксперты Checkmarx отметили, что тот же вредонос раздается с репозитория GitHub под названием Meme Token Hunter Bot. В его описании говорится, что это якобы трейдинговый бот на основе искусственного интеллекта, который проверяет все мем-токены в сети Solana и производит трейдинг в режиме реального времени.
У злоумышленников есть и свой Telegram-канал, который вовсю рекламирует вышеуказанный репозиторий GitHub, предлагая подписку и техническую поддержку. По-видимому, злоумышленник пытается обеспечить своей разработке максимальный охват. Эксперты Checkmarx также обратили внимание, что у репозитория GitHub уже появился форк – скорее всего, созданный ничего не подозревавшей жертвой.
«Везде, где есть деньги и хайп, заводятся и мошенники, в том числе технически продвинутые, – указывает Никита Павлов, эксперт по информационной безопасности компании SEQ. – В данном случае речь идет о масштабной кампании, нацеленной на криптоинвесторов, причем тех, которые знают, как работать с репозиториями, но едва ли способны отличить вредоносный код от легитимного».
Эксперт добавил, что для криптоинвесторов особенно важно без излишнего доверия относиться к предлагаемым им инструментам, – те могут оказаться совсем не тем, за что их выдают.