W4SP Stealer trovato su PyPi Index, minaccia portafogli crypto e password del browser

Un attore della minaccia ha caricato cinque pacchetti dannosi contenenti malware di furto di informazioni ‘W4SP Stealer’ su Python Package Index (PyPi Index) dal 27 gennaio al 29 gennaio 2023.

I ricercatori della sicurezza della società Fortinet hanno scoperto cinque pacchetti dannosi che, una volta installati, hanno iniziato a rubare portafogli di criptovalute, cookie di autenticazione di Discord e password salvate nei browser.

Ora, per coloro che non lo sanno, PyPi è un repository software creato per i pacchetti del linguaggio Python, e può contenere fino a 200.000 pacchetti che aiutano gli sviluppatori a trovare i pacchetti esistenti per le esigenze del loro progetto.

Ora, anche se i cinque pacchetti dannosi sono stati rimossi, sono già stati scaricati da centinaia di sviluppatori. Tuttavia, questi erano i cinque pacchetti dannosi.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Bene, la maggior parte di questi pacchetti dannosi è stata scaricata dagli sviluppatori nei primi giorni, il che ha motivato gli attori della minaccia a caricare lo stesso codice sull’indice PyPi tramite nuovi pacchetti e nuovi account ogni volta che vengono bannati.

La società di sicurezza non è riuscita a identificare il tipo di furto di informazioni, anche se secondo un rapporto, si tratta del malware di furto di informazioni W4SP Stealer.

Leggi: Gli attori della minaccia russa prendono di mira le criptovalute con il malware Enigma

Come abbiamo accennato sopra, il malware di furto di informazioni ruba informazioni dai browser web come Opera, Brave browser, Yandex browser, Microsoft Edge e altro. Dopo di che, cerca di rubare i cookie di autenticazione da Discord, Discord Canary, Lightcord client e il Discord PTB.

Alla fine, il malware cerca di rubare il portafoglio Atomic, i portafogli di criptovalute Exodus e i cookie per Nations Glory, un gioco online.

Inoltre, il malware di furto di informazioni prende di mira anche una varietà di siti web cercando di recuperare informazioni sensibili degli utenti che alla fine aiuteranno l’attore della minaccia a rubare account. Questi sono elenchi dei siti web presi di mira.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Ora, dopo aver raccolto tutti i dati dal computer infetto, il malware carica quindi i dati rubati utilizzando i webhook di Discord e poi li pubblica sul server dell’attore della minaccia.

Bene, i webhook di Discord consentono agli utenti di inviare messaggi che contengono file a un server Discord, e questa funzione è ampiamente sfruttata per rubare token, password e altro.

La società di sicurezza ha anche notato l’esistenza di una funzione che controlla i file per parole chiave particolari, e se le rileva, cerca di rubarle utilizzando lo strumento di trasferimento file transfer.sh e per quanto riguarda le parole chiave che riguardano PayPal, criptovalute, banche, password e altro.

Inoltre, alcune delle parole chiave utilizzate dall’attore della minaccia sono in lingua francese, indicando che l’attore della minaccia potrebbe provenire dalla Francia.

Ogni giorno, i repository di pacchetti come il Python Package Index e il Node Package Manager vengono utilizzati per distribuire malware, quindi è consigliabile scansionare i pacchetti prima di scaricarli.

Leggi: Nuova variante del Trojan Royal scoperta, prende di mira le macchine virtuali VMware ESXi