rewrite this content and keep HTML tags
Los investigadores de ciberseguridad han detectado dos paquetes maliciosos que se cargaron en el repositorio Python Package Index (PyPI) y que venían equipados con capacidades para filtrar información confidencial de los hosts comprometidos, según nuevos hallazgos de Fortinet FortiGuard Labs.
Los paquetes, llamados hermoso y registrador de cometasatrajeron 118 y 164 descargas cada uno, antes de ser eliminados. Según las estadísticas de ClickPy, un mayoría de estos descargas Procedían de Estados Unidos, China, Rusia e India.
Zebo es un «ejemplo típico de malware, con funciones diseñadas para vigilancia, filtración de datos y control no autorizado», dijo la investigadora de seguridad Jenna Wang, añadiendo que cometlogger «también muestra signos de comportamiento malicioso, incluida la manipulación dinámica de archivos, la inyección de webhooks, el robo de información, y controles anti-(máquinas virtuales)».
El primero de los dos paquetes, zebo, utiliza técnicas de ofuscación, como cadenas codificadas en hexadecimal, para ocultar la URL del servidor de comando y control (C2) con el que se comunica a través de solicitudes HTTP.
También incluye una serie de funciones para recopilar datos, incluido el uso de la biblioteca pynput para capturar pulsaciones de teclas e ImageGrab para tomar capturas de pantalla periódicamente cada hora y guardarlas en una carpeta local, antes de cargarlas en el servicio gratuito de alojamiento de imágenes ImgBB mediante una API. clave recuperada del servidor C2.
Además de filtrar datos confidenciales, el malware establece la persistencia en la máquina mediante la creación de un script por lotes que inicia el código Python y lo agrega a la carpeta de inicio de Windows para que se ejecute automáticamente en cada reinicio.
Cometlogger, por otro lado, está repleto de funciones y extrae una amplia gama de información, incluidas cookies, contraseñas, tokens y datos relacionados con la cuenta de aplicaciones como Discord, Steam, Instagram, X, TikTok, Reddit, Contracción nerviosa, Spotify y Roblox.
También es capaz de recopilar metadatos del sistema, información de red y Wi-Fi, una lista de procesos en ejecución y contenido del portapapeles. Además, incorpora controles para evitar la ejecución en entornos virtualizados y finaliza los procesos relacionados con el navegador web para garantizar el acceso sin restricciones a los archivos.
«Al ejecutar tareas de forma asincrónica, el script maximiza la eficiencia, robando grandes cantidades de datos en poco tiempo», dijo Wang.
«Si bien algunas características podrían ser parte de una herramienta legítima, la falta de transparencia y la funcionalidad sospechosa hacen que su ejecución no sea segura. Examine siempre el código antes de ejecutarlo y evite interactuar con scripts de fuentes no verificadas».