W4SP Stealer Encontrado no Índice PyPi, Ameaçando Carteiras de Criptomoedas & Senhas de Navegadores

Um ator de ameaça carregou cinco pacotes maliciosos contendo malware de roubo de informações ‘W4SP Stealer’ no Índice de Pacotes Python (PyPi Index) de 27 a 29 de janeiro de 2023.

Os pesquisadores de segurança da empresa de segurança Fortinet descobriram cinco pacotes maliciosos que, uma vez instalados, começaram a roubar carteiras de criptomoedas, cookies de autenticação do Discord e senhas salvas nos navegadores.

Agora, para aqueles que não sabem, o PyPi é um repositório de software feito para pacotes da Linguagem Python, e pode conter até 200.000 pacotes que ajudam os desenvolvedores a encontrar os pacotes existentes para os requisitos de seus projetos.

Agora, embora os cinco pacotes maliciosos tenham sido removidos, eles já foram baixados por centenas de desenvolvedores. No entanto, estes foram os cinco pacotes maliciosos.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Bem, a maioria desses pacotes maliciosos foi baixada pelos desenvolvedores nos primeiros dias, o que motivou os atores de ameaça a carregar o mesmo código no índice PyPi através de novos pacotes e novas contas sempre que eles são banidos.

A empresa de segurança não conseguiu identificar o tipo de roubo de informações, embora, de acordo com um relatório, seja o malware de roubo de informações W4SP Stealer.

Leia: Atores de Ameaça Russos Alvo de Criptomoedas com Malware Enigma

Como mencionamos acima, o malware de roubo de informações rouba informações de navegadores da web como Opera, Brave browser, Yandex browser, Microsoft Edge e mais. Depois disso, ele tenta roubar cookies de autenticação do Discord, Discord Canary, cliente Lightcord e o Discord PTB.

No final, o malware tenta roubar a carteira Atomic, carteiras de criptomoedas Exodus e os cookies para Nations Glory, um jogo online.

Além disso, o malware de roubo de informações também mira uma variedade de sites tentando recuperar informações sensíveis dos usuários, o que eventualmente ajudará o ator de ameaça a roubar contas. Estas são listas dos sites alvo.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Agora, após coletar todos os dados do computador infectado, o malware então faz o upload dos dados roubados usando os webhooks do Discord e depois os publica no servidor do ator de ameaça.

Bem, os Webhooks do Discord permitem que os usuários enviem mensagens que contêm arquivos para um servidor Discord, e esse recurso é amplamente explorado para roubar tokens, senhas e mais.

A empresa de segurança também notou a existência de uma função que verifica arquivos em busca de palavras-chave específicas, e se detecta-las, tenta roubá-las usando a ferramenta de transferência de arquivos transfer.sh e quanto às palavras-chave que se relacionam a PayPal, criptomoeda, banco, senha e mais.

Além disso, algumas das palavras-chave usadas pelo ator de ameaça estão em francês, indicando que o ator de ameaça pode ser da França.

Hoje em dia, repositórios de pacotes como o Índice de Pacotes Python e o Gerenciador de Pacotes Node são usados para distribuir malware, por isso é aconselhável escanear os pacotes antes de baixá-los.

Leia: Nova Variante do Trojan Royal Descoberta, Alvo de Máquinas Virtuais VMware ESXi