Araştırmacılar, Kötü Amaçlı Kod Kullanarak Kripto Cüzdanlarını Hedefleyen Python Paketini Ortaya Çıkardı


30 Eki 2024Ravie LakshmananSiber Suç / Kripto Para Birimi

Python Paketi

Siber güvenlik araştırmacıları, kripto para birimi ticaret aracı gibi görünen ancak hassas verileri çalmak ve kurbanların kripto cüzdanlarındaki varlıkları boşaltmak için tasarlanmış işlevsellik barındıran yeni bir kötü amaçlı Python paketi keşfetti.

“CryptoAITools” adlı paketin hem Python Paket Dizini (PyPI) hem de sahte GitHub depoları aracılığıyla dağıtıldığı söyleniyor. PyPI’de kaldırılmadan önce 1.300’den fazla kez indirildi.

Checkmarx, The Hacker News ile paylaştığı yeni bir raporda, “Kötü amaçlı yazılım kurulum sırasında otomatik olarak etkinleştirildi ve hem Windows hem de macOS işletim sistemlerini hedef aldı” dedi. “Kötü amaçlı yazılım arka planda kötü amaçlı ac4vi4es işlemlerini gerçekleştirirken, vic4ms’in dikkatini dağıtmak için yanıltıcı bir grafik kullanıcı arayüzü (GUI) kullanıldı.”

Paket, kötü amaçlı yazılımın uygun sürümünü çalıştırmak için ilk önce hedef sistemin Windows mu yoksa macOS mi olduğunu belirleyen “__init__.py” dosyasına enjekte edilen kod aracılığıyla, kurulumdan hemen sonra kötü niyetli davranışı açığa çıkarmak üzere tasarlandı.

Siber güvenlik

Kodun içinde, ek yüklerin indirilmesinden ve yürütülmesinden sorumlu olan ve böylece çok aşamalı bir enfeksiyon sürecini başlatan bir yardımcı işlevsellik bulunmaktadır.

Özellikle, veriler sahte bir web sitesinden (“coinsw”) indirilmektedir.[.]Bu, bir kripto para birimi ticaret botu hizmetinin reklamını yapan, ancak aslında bir geliştiricinin doğrudan bir web tarayıcısı üzerinden bu alana gitmeye karar vermesi durumunda alan adına bir meşruiyet cilası verme girişimidir.

Bu yaklaşım, yalnızca tehdit aktörünün tespitten kaçmasına yardımcı olmakla kalmıyor, aynı zamanda yasal görünen web sitesinde barındırılan yükleri değiştirerek kötü amaçlı yazılımın yeteneklerini diledikleri gibi genişletmelerine de olanak tanıyor.

Bulaşma sürecinin dikkate değer bir yönü, kötü amaçlı yazılım gizlice sistemlerden hassas verileri toplarken, sahte kurulum süreci aracılığıyla kurbanların dikkatini dağıtmaya yarayan bir GUI bileşeninin dahil edilmesidir.

Python Paketi

Checkmarx, “CryptoAITools kötü amaçlı yazılımı, virüslü sistemdeki çok çeşitli hassas bilgileri hedef alarak kapsamlı bir veri hırsızlığı operasyonu yürütüyor” dedi. “Birincil amaç, saldırganın kripto para birimi varlıklarını çalmasına yardımcı olabilecek her türlü veriyi toplamaktır.”

Buna, kripto para cüzdanlarından (Bitcoin, Ethereum, Exodus, Atomic, Electrum vb.), kayıtlı şifrelerden, çerezlerden, tarama geçmişinden, kripto para birimi uzantılarından, SSH anahtarlarından, İndirilenler, Belgeler, kripto para birimlerine referans veren Masaüstü dizinlerinde saklanan dosyalar, şifreler, şifreler, ve finansal bilgiler ve Telegram.

Hırsız, Apple macOS makinelerinde Apple Notes ve Stickies uygulamalarından veri toplama adımını da atıyor. Toplanan bilgiler sonuçta gofile’a yüklenir.[.]io dosya aktarım hizmeti, ardından yerel kopya silinir.

Checkmarx, tehdit aktörünün aynı hırsız kötü amaçlı yazılımını, “Solana ağındaki tüm meme tokenlerini listeleyen ve gerçek zamanlı işlemler gerçekleştiren yapay zeka destekli bir ticaret botu” olduğunu iddia eden Meme Token Hunter Bot adlı GitHub deposu aracılığıyla dağıttığını da keşfettiğini söyledi. güvenli kabul ediliyor.”

Siber güvenlik

Bu, kampanyanın aynı zamanda kodu doğrudan GitHub’dan kopyalayıp çalıştırmayı tercih eden kripto para birimi kullanıcılarını da hedef aldığını gösteriyor. Yazım itibarıyla hala aktif olan depo, bir kez çatallandı ve 10 kez yıldızlandı.

Operatörler tarafından ayrıca yukarıda belirtilen GitHub deposunu tanıtan, aylık abonelikler ve teknik destek sunan bir Telegram kanalı da yönetilmektedir.

Checkmarx, “Bu çok platformlu yaklaşım, saldırganın geniş bir ağ oluşturmasına ve potansiyel olarak bir platform konusunda ihtiyatlı olup diğerine güvenen kurbanlara ulaşmasını sağlıyor” dedi.

“CryptoAITools kötü amaçlı yazılım kampanyasının kurbanlar ve daha geniş kripto para birimi topluluğu için ciddi sonuçları var. Kötü amaçlı ‘Meme-Token-Hunter-Bot’ deposunu yıldızlayan veya çatallayan kullanıcılar potansiyel kurbanlardır ve saldırının erişim alanını önemli ölçüde genişletir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link