Los laboratorios FortiGuard de Fortinet han descubierto recientemente dos paquetes de Python altamente maliciosos, Zebo-0.1.0 y Cometlogger-0.1, que sirven como un recordatorio alarmante de la creciente sofisticación de las amenazas cibernéticas. Estos paquetes, detectados en noviembre de 2024, destacan el creciente abuso de los repositorios de Python Package Index (PyPI) para distribuir malware disfrazado de software legítimo. Este análisis proporciona a la comunidad de ciberseguridad una comprensión detallada de su comportamiento, los riesgos asociados y recomendaciones prácticas para mitigar estas amenazas.
El Aumento del Código Malicioso en Python
Python se ha convertido en un lenguaje de programación universal debido a su simplicidad y sus extensas bibliotecas. Sin embargo, su accesibilidad también lo hace atractivo para los ciberdelincuentes. Los actores maliciosos explotan los ecosistemas de código abierto, utilizando técnicas de ofuscación para ocultar cargas maliciosas dentro de código aparentemente legítimo. El sistema de detección de malware de software de código abierto (OSS) impulsado por inteligencia artificial de Fortinet identificó estos dos paquetes maliciosos diseñados para el robo de credenciales, la vigilancia no autorizada y la exfiltración de datos.
Desglose del Paquete Zebo-0.1.0
El paquete Zebo-0.1.0 exhibe todas las características de un malware bien diseñado, con su capacidad para invadir silenciosamente los sistemas de los usuarios. Su enfoque multifuncional incluye las siguientes tácticas:
- Técnicas de Ofuscación: Zebo-0.1.0 emplea métodos avanzados de ofuscación, como la codificación de elementos críticos (por ejemplo, URLs de servidores) en formato hexadecimal, para evadir la detección. Esto no solo elude las herramientas de análisis de código estático, sino que también dificulta su inspección manual.
- Capacidades de Keylogging: Utilizando la biblioteca
pynput, el malware registra las pulsaciones del teclado de los usuarios, capturando datos sensibles como contraseñas y credenciales de cuentas. Estos registros se almacenan localmente y luego se cargan en una base de datos Firebase remota. - Captura de Pantalla y Exfiltración de Datos: El malware toma capturas periódicas del escritorio de la víctima y las transmite a un servidor para acceso no autorizado. La información robada se elimina posteriormente del sistema de la víctima para evitar la detección.
- Mecanismos de Persistencia: Zebo-0.1.0 asegura su ejecución cada vez que el sistema se inicia. Esto se logra al incrustar scripts en las carpetas de inicio de Windows, dificultando su eliminación para los usuarios no técnicos.
El paquete malicioso utiliza solicitudes HTTP PUT para transmitir datos sensibles a un servidor Firebase. Las URLs codificadas utilizadas para la exfiltración de datos subrayan aún más sus avanzadas capacidades de ofuscación.
Cometlogger-0.1: Un Keylogger y Ladrón de Datos Sofisticado
Al igual que Zebo-0.1.0, Cometlogger-0.1 demuestra funcionalidades maliciosas avanzadas, aunque con características adicionales que representan amenazas significativas tanto para individuos como para organizaciones. Sus componentes clave incluyen:
- Inyección de Webhooks: El script solicita dinámicamente a los usuarios que ingresen URLs de webhooks, que luego se codifican en archivos de Python. Esto facilita el robo de información sensible, como tokens de sesión y cookies, y permite a los atacantes remotos emitir comandos a través de operaciones de comando y control (C2) basadas en webhooks.
- Robo de Información: Cometlogger apunta a contraseñas guardadas, cookies e historiales de navegación en plataformas como Instagram, Twitter, Discord y TikTok. Las billeteras de criptomonedas también son un objetivo principal, con el malware extrayendo archivos de billeteras desde extensiones del navegador y almacenamiento local.
- Detección Anti-VM: El malware incluye mecanismos de detección de virtualización para identificar si se está analizando en un entorno de máquina virtual o sandbox. Si se detecta, el malware se detiene para evitar ser estudiado.
- Mensajes de Error Falsos: Para engañar a los usuarios y que vuelvan a ejecutar el script malicioso, el malware muestra mensajes de error engañosos. Esto aumenta su persistencia en el sistema de la víctima.
Mediante la ejecución asincrónica, Cometlogger es capaz de exfiltrar grandes volúmenes de datos de manera eficiente. Además, utiliza técnicas como la encriptación de archivos y modificaciones dinámicas en tiempo de ejecución para evadir la detección por parte de herramientas de seguridad.
Riesgos e Indicadores de Compromiso (IOCs)
Ambos paquetes, Zebo-0.1.0 y Cometlogger-0.1, presentan riesgos significativos para los usuarios y las organizaciones:
- Ofuscación y Robo de Datos: Las técnicas de ofuscación no solo ocultan el comportamiento malicioso, sino que también dificultan la detección para las soluciones antivirus. Los datos robados pueden conducir al robo de identidad, fraude financiero o acceso no autorizado a recursos corporativos sensibles.
- Persistencia y Escalabilidad: La capacidad de estos scripts para incrustarse profundamente en el sistema operativo asegura que permanezcan operativos durante períodos prolongados, aumentando su impacto potencial.
Principales IOCs:
- Hash de Zebo-0.1.0:
4aeb0211bd6d9e7c74c09ac67812465f2a8e90e25fe04b265b7f289deea5db21 - Hash de Cometlogger-0.1:
839d0cfcc52a130add70239b943d8c82c4234b064d6f996eeaae142f05cc9e85
Recomendaciones Prácticas para la Mitigación
Para la Detección:
- Herramientas Antivirus: Utilice soluciones de seguridad confiables capaces de detectar malware ofuscado.
- Monitoreo de Red: Supervise el tráfico saliente en busca de conexiones sospechosas, como solicitudes HTTP PUT no autorizadas.
Para la Prevención:
- Revisión de Código: Evite ejecutar scripts de terceros sin una revisión exhaustiva.
- Educación de Usuarios: Capacite a los empleados para reconocer intentos de phishing y evitar interactuar con software no verificado.
- Prácticas de Desarrollo Seguro: Los desarrolladores deben confiar en repositorios de confianza e integrar herramientas de seguridad para escanear dependencias.
La aparición de paquetes maliciosos como Zebo-0.1.0 y Cometlogger-0.1 subraya la necesidad crítica de una mayor vigilancia dentro de la comunidad de ciberseguridad. Estas amenazas basadas en Python resaltan cómo los atacantes explotan los ecosistemas de código abierto para distribuir malware, a menudo apuntando a desarrolladores y usuarios desprevenidos. Al adoptar un enfoque de seguridad multiprongado que combine detección, prevención y educación, las organizaciones pueden proteger sus sistemas y datos de estas amenazas en evolución.
A medida que el panorama de ciberseguridad continúa evolucionando, la concienciación y las medidas proactivas seguirán siendo clave para combatir adversarios sofisticados. Este estudio de caso sirve como un recordatorio de la importancia de proteger los entornos de desarrollo y examinar las dependencias de terceros.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
