El equipo de investigación de seguridad de Checkmarx ha descubierto recientemente un nuevo paquete malicioso de Python llamado CryptoAITools. Este paquete se hace pasar por una herramienta de intercambio de criptomonedas, pero en realidad tiene la capacidad de robar datos sensibles y los activos de la cartera de criptomonedas de las víctimas. CryptoAITools se ha difundido a través de Python Package Index (PyPI) y repositorios de GitHub, y antes de ser retirado de PyPI, ya había sido descargado más de 1300 veces.
El equipo de investigación de seguridad de Checkmarx ha identificado las principales características y hallazgos de CryptoAITools, que incluyen:
– El malware utiliza diversas estrategias de ingeniería social para propagarse, como el paquete malicioso inicial en PyPI llamado “cryptoaitools”, un repositorio falso en GitHub llamado “Meme-Token-Hunter-Bot”, un sitio web falso que imita a un bot legítimo de intercambio de criptomonedas (coinsw[.]app) y la interacción con las víctimas a través de Telegram.
– Una vez que el usuario instala el malware, CryptoAITools utiliza el archivo “__init__.py” del paquete para identificar si el objetivo es un sistema operativo Windows o macOS, y ejecuta la versión correspondiente del malware.
– CryptoAITools utiliza una interfaz de usuario gráfica (GUI) como parte de su estrategia de ingeniería social, con el objetivo de distraer la atención de las víctimas mientras recopila información sensible sobre criptomonedas, como datos de la cartera, historial de navegación y archivos del sistema.
– Durante la etapa inicial de infección, el paquete malicioso descarga otros componentes maliciosos desde el sitio web falso a través de un script, lo que inicia un proceso de infección en varias etapas. El malware está diseñado cuidadosamente con un sitio web de servicio de intercambio de criptomonedas convincente, junto con falsas reseñas de usuarios y suscriptores, para aumentar su credibilidad.
Se recomienda a los usuarios tener precaución al descargar e instalar cualquier paquete de terceros, y verificar cuidadosamente su origen y credibilidad. Se recomienda utilizar canales oficiales y mantener actualizado el software de seguridad para fortalecer las medidas de protección.