Checkmarx tehdit araştırma ekibi, Python Paket Dizini (PyPI) deposunda yeni bir istilacı kripto kötü amaçlı yazılım kampanyası ortaya çıkardı. Tehdit aktörleri, kripto para ticaret araçları gibi davranarak hassas verileri çalıyor ve kurbanların kripto cüzdanlarını boşaltıyor.
“CryptoAITools” adlı kötü amaçlı paket, PyPI ve GitHub depolarına, meşru kripto para ticaret araçları kılığına girerek yüklendi, bulgular ortaya koydu.
Saldırgan, mağdurları dikkatini dağıtmak için sahte bir grafik kullanıcı arayüzü (GUI) kullandı ve bu sırada kötü amaçlı yazılım tehlikeli faaliyetlerde bulundu. Ayrıca, kötü amaçlı yazılım yükleme sırasında otomatik olarak etkinleşir, hem Windows hem de macOS işletim sistemlerini hedef alır.
“CryptoAITools kötü amaçlı yazılımı, sahte bir web sitesi kullanarak ikincil yüklerini teslim eden sofistike bir çok aşamalı enfeksiyon süreci kullanıyor.”
PyPI paketi aracılığıyla ilk enfeksiyonun ardından, kötü amaçlı yazılım ayrı ayrı macOS ve Windows için komut dosyalarını çalıştırmaya başlıyor.
“Bu komut dosyaları, bir aldatıcı web sitesinden ek kötü amaçlı bileşenler indirme görevini üstleniyor,” dedi araştırma ekibi Cryptonews’a gönderilen bir basın açıklamasında.
Checkmarx araştırmacısı Yehuda Gelb bu ayın başlarında yayınlanan bir analizde, saldırganın Atomic, Trust Wallet, Metamask , Ronin, TronLink, Exodus ve diğer önde gelen kripto cüzdan kullanıcılarını hedef aldığını söyledi.
“Bu paketler, cüzdan verilerini çözme ve mnemonik ifadeleri çıkarmak için araçlar olarak kendilerini göstererek, cüzdan kurtarma veya yönetimiyle ilgilenen kripto para kullanıcıları için değerli işlevsellik sundukları görülüyordu.”
Ayrıca, CryptoAITools kötü amaçlı yazılımı, tarayıcı bilgileri gibi kayıtlı şifreler ve tarama geçmişi gibi veri hırsızlığı operasyonu yürüttü.
MacOS sistemlerinde, kötü amaçlı yazılım ayrıca Apple Notes ve Stickies uygulamalarından veri hedefledi.
CryptoAITools Kötü Amaçlı Yazılımının Veri Kaçırma Süreci
Saldırganlar, ilk olarak kullanıcıların ana klasörlerinde depolanan verileri toplamaya başladı. Her dosyadaki veri kaçırma komutu değişir ve kötü amaçlı yazılım dosyayı gofile.io’ya API’lerini kullanarak yükler.
Saldırgan daha sonra etkilenen indirme bağlantısını bir Telegram botu aracılığıyla gönderir ve potansiyel kurbanları cezbetmek için çeşitli taktikler kullanır.
“Bu kampanyaya yönelik sürdürülen araştırmamız, saldırganın birçok enfeksiyon vektörü ve sosyal mühendislik taktikleri kullandığını ortaya çıkardı,” dedi ekip. “Saldırının yalnızca PyPI üzerindeki kötü amaçlı Python paketiyle sınırlı olmadığını, diğer platformlara ve yöntemlere de uzandığını belirtti.”
CryptoAITools kötü amaçlı yazılım kampanyası, kurbanlar ve daha geniş kripto para topluluğu için ciddi sonuçlar doğuruyor; anında mali kayıplar dahil. Etki ayrıca kimlik hırsızlığı ve gizlilik ihlalleri gibi uzun vadeli riskleri de içeriyor.
