Cibercriminales se hacen pasar por usuarios de Stack Overflow para propagar malware
En estos momentos, los hackers maliciosos están abusando del uso de Stack Overflow para difundir malware. Consiste en responder las preguntas de los usuarios a través de la promoción de un paquete PyPi malicioso, el cual instala malware que roba información del sistema operativo Windows.
Diversos especialistas e investigadores han descubierto que este nuevo paquete PyPi es parte de una campaña que se conoció con el nombre de “paquete genial”. Se llamó así por una cadena en los metadatos de dicho paquete, el cual se dirigió a los usuarios de Windows el año pasado.
El paquete ha sido subido por cibercriminales al repositorio de PyPi hace unos días, camuflado como una herramienta de gestión de API. Este paquete contiene la cadena llamada “paquete genial” en el campo de metadatos “Resumen”, indicando que es parte de la campaña de malware que está en curso. Como es sabido, los paquetes maliciosos como este, se promocionan empleando nombres similares a otros paquetes muy usados.
No obstante, con este paquete, los ciberdelincuentes han adoptado un enfoque novedoso, ya que han respondido preguntas en Stack Overflow y promocionando este paquete como una solución a los problemas de los usuarios de la comunidad.
Tener actualizado el software de tu ecosistema informático es vital para evitar y repeler ataques perpetrados por hackers maliciosos. De esta manera, TIC Defense ayuda a mantener actualizados y parcheados todos los programas, herramientas y API en los dispositivos y equipos conectados a tu red.
Como Stack Overflow es una plataforma muy usada por desarrolladores de todos los niveles para hacer y responder preguntas, ha proporcionado un entorno propicio para la difusión de malware, el cual viene disfrazado de interfaces y bibliotecas de programación.
Los expertos han notado que una cuenta de Stack Overflow ha estado auspiciando exploits entre los miembros de la comunidad de esta plataforma, los cuales buscan ayuda para depurar bugs y diversos errores, al indicarles que instalen este paquete malicioso como “solución” a su problema, aun cuando dicha solución no esté relacionada con las preguntas que los desarrolladores han publicado.
En el caso de este malware, el paquete contiene un archivo llamado “setup.py” que rellena un comando codificado en base64 con espacios para que pueda ejecutarse. De este modo, queda oculto a menos que se habilite el ajuste de línea en su IDE o mediante el editor de archivos de texto.
Cuando se desempaqueta, el comando malicioso va a descargar un ejecutable llamado “runtime.exe” desde un sitio remoto y lo va a ejecutar. Dicho ejecutable, en realidad es un programa de Python convertido en un .exe, el cual actúa como un malware que roba información y datos para recopilar cookies, contraseñas, historial del navegador, tarjetas de crédito y otros datos de los navegadores web.
De igual manera, el código malicioso parece buscar también algunas frases específicas en los documentos. Si encuentra dichas palabras, se pone en marcha para robar estos datos. La información robada es recopilada y enviada luego al atacante, quien puede venderla en los mercados de la Dark Web o emplearla para violentar otras cuentas que son propiedad de la víctima.
Si bien los paquetes PyPi maliciosos y los robos de información no son acontecimientos nuevos, la estrategia de los hackers maliciosos de hacerse pasar por colaboradores en Stack Overflow ha resultado en un enfoque interesante, ya que les permite explotar la confianza y la autoridad de la plataforma en la comunidad de desarrolladores.
