VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói Python độc hại mới ngụy trang thành một công cụ giao dịch tiền điện tử nhưng lại chứa chức năng được thiết kế để đánh cắp dữ liệu nhạy cảm và rút tiền từ ví tiền điện tử của nạn nhân.

Gói có tên "CryptoAITools" được cho là đã được phân phối thông qua cả Python Package Index (PyPI) và các kho lưu trữ GitHub giả mạo. Nó đã được tải xuống hơn 1.300 lần trước khi bị gỡ xuống trên PyPI.


"Phần mềm độc hại được kích hoạt tự động sau khi cài đặt, nhắm vào cả hệ điều hành Windows và macOS", Checkmarx cho biết trong một báo cáo mới được chia sẻ với The Hacker News. "Một giao diện người dùng đồ họa (GUI) lừa đảo đã được sử dụng để đánh lạc hướng vic4ms trong khi phần mềm độc hại thực hiện các ac4vi4es độc hại của nó ở chế độ nền".

Gói này được thiết kế để phát tán hành vi độc hại ngay sau khi cài đặt thông qua mã được đưa vào tệp "__init__.py" để xác định hệ thống mục tiêu là Windows hay macOS nhằm thực thi phiên bản phần mềm độc hại phù hợp.

Trong mã có một chức năng trợ giúp có nhiệm vụ tải xuống và thực thi các tải trọng bổ sung, do đó khởi động một quá trình lây nhiễm nhiều giai đoạn.

Cụ thể hơn, các dữ liệu được tải xuống từ một trang web giả mạo (" coinsw[.]app ") quảng cáo dịch vụ bot giao dịch tiền điện tử, nhưng thực chất là một nỗ lực nhằm tạo cho tên miền này vẻ ngoài hợp pháp trong trường hợp nhà phát triển quyết định điều hướng trực tiếp đến đó trên trình duyệt web.

Cách tiếp cận này không chỉ giúp kẻ tấn công tránh bị phát hiện mà còn cho phép chúng mở rộng khả năng của phần mềm độc hại theo ý muốn chỉ bằng cách sửa đổi các phần mềm được lưu trữ trên trang web hợp pháp.

Một khía cạnh đáng chú ý của quá trình lây nhiễm là việc kết hợp một thành phần GUI có tác dụng đánh lạc hướng nạn nhân bằng một quy trình thiết lập giả mạo trong khi phần mềm độc hại đang bí mật thu thập dữ liệu nhạy cảm từ hệ thống.


"Phần mềm độc hại CryptoAITools thực hiện một hoạt động đánh cắp dữ liệu rộng rãi, nhắm vào nhiều thông tin nhạy cảm trên hệ thống bị nhiễm", Checkmarx cho biết. "Mục tiêu chính là thu thập bất kỳ dữ liệu nào có thể giúp kẻ tấn công đánh cắp tài sản tiền điện tử".

Bao gồm dữ liệu từ ví tiền điện tử (Bitcoin, Ethereum, Exodus, Atomic, Electrum, v.v.), mật khẩu đã lưu, cookie, lịch sử duyệt web, tiện ích mở rộng tiền điện tử, khóa SSH, tệp được lưu trữ trong thư mục Tải xuống, Tài liệu, Máy tính để bàn có tham chiếu đến tiền điện tử, mật khẩu, thông tin tài chính và Telegram.

Trên máy Apple macOS, kẻ đánh cắp cũng thực hiện bước thu thập dữ liệu từ các ứng dụng Apple Notes và Stickies. Thông tin thu thập được cuối cùng được tải lên dịch vụ chuyển tệp gofile[.]io, sau đó bản sao cục bộ sẽ bị xóa.

Checkmarx cho biết họ cũng phát hiện ra tác nhân đe dọa phân phối cùng một phần mềm độc hại đánh cắp thông qua kho lưu trữ GitHub có tên là Meme Token Hunter Bot, tự nhận là "bot giao dịch hỗ trợ AI liệt kê tất cả các token meme trên mạng Solana và thực hiện giao dịch theo thời gian thực khi chúng được coi là an toàn".

Điều này cho thấy chiến dịch cũng nhắm đến những người dùng tiền điện tử chọn sao chép và chạy mã trực tiếp từ GitHub. Kho lưu trữ, vẫn hoạt động khi viết bài, đã được fork một lần và được gắn sao 10 lần.

Ngoài ra, các nhà điều hành còn quản lý kênh Telegram để quảng bá kho lưu trữ GitHub nói trên, cũng như cung cấp đăng ký hàng tháng và hỗ trợ kỹ thuật.

Checkmarx cho biết: "Phương pháp tiếp cận đa nền tảng này cho phép kẻ tấn công có thể tung lưới rộng, có khả năng tiếp cận những nạn nhân có thể thận trọng với một nền tảng nhưng lại tin tưởng nền tảng khác".

"Chiến dịch phần mềm độc hại CryptoAITools gây ra hậu quả nghiêm trọng cho nạn nhân và cộng đồng tiền điện tử nói chung. Người dùng đã sao chép hoặc phân nhánh kho lưu trữ 'Meme-Token-Hunter-Bot' độc hại là những nạn nhân tiềm năng, mở rộng đáng kể phạm vi của cuộc tấn công."