Los investigadores de ciberseguridad han señalado una nueva crecimiento de la campaña GlassWorm que ofrece un situación de múltiples etapas capaz de robar datos integrales e instalar un troyano de comunicación remoto (RAT), que implementa una extensión de Google Chrome para robar información haciéndose advenir por una traducción fuera de ruta de Google Docs.
“Registra las pulsaciones de teclas, descarga cookies y tokens de sesión, captura capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de dependencia de bloques de Solana”, dijo el investigador de seguridad de Aikido Ilyas Makari en un crónica publicado la semana pasada.
GlassWorm es el apodo asignado a una campaña persistente que obtiene un punto de apoyo auténtico a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Adicionalmente, se sabe que los operadores comprometen las cuentas de los mantenedores del plan para mandar actualizaciones envenenadas.
Los ataques son lo suficientemente cuidadosos como para evitar infectar sistemas con una configuración regional rusa y utilizan transacciones de Solana como un sistema de resolución muerta para recuperar el servidor de comando y control (C2) (“45.32.150(.)251”) y descargar cargas aperos específicas del sistema eficaz.
La carga útil de la etapa dos es un situación de robo de datos con capacidades de casa recoleta de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema. Los datos recopilados se comprimen en un archivo ZIP y se extraen a un servidor forastero (“217.69.3(.)152/wall”). Asimismo incorpora funcionalidad para recuperar y exhalar la carga útil final.
Una vez que se transmiten los datos, la dependencia de ataque implica recuperar dos componentes adicionales: un binario .NET diseñado para transigir a mango phishing de billetera de hardware y un RAT JavaScript basado en Websocket para desviar datos del navegador web y ejecutar código injusto. La carga útil RAT se obtiene de “45.32.150(.)251” mediante el uso de una URL de evento divulgado de Google Calendar como solucionador de entrega muerta.
El binario .NET aprovecha la infraestructura del Instrumental de empresa de Windows (WMI) para detectar conexiones de dispositivos USB y muestra una ventana de phishing cuando se conecta una billetera de hardware Ledger o Trezor.
“La interfaz de sucesor de Ledger muestra un error de configuración apócrifo y presenta 24 campos de entrada de frases de recuperación numerados”, señaló Makari. “La interfaz de sucesor de Trezor muestra un mensaje apócrifo de ‘Error en la energía del firmware, iniciando reinicio de emergencia’ con el mismo diseño de entrada de 24 palabras. Ambas ventanas incluyen un rama ‘RESTAURAR WALLET'”.
El malware no sólo elimina cualquier proceso efectivo de Ledger Live que se esté ejecutando en el host de Windows, sino que incluso vuelve a mostrar la ventana de phishing si la víctima la cierra. El objetivo final del ataque es capturar la frase de recuperación de la billetera y transmitirla a la dirección IP “45.150.34(.)158”.
La RAT, por otro costado, utiliza una tabla hash distribuida (DHT) para recuperar los detalles de C2. En caso de que el mecanismo no devuelva ningún valía, el malware cambia al punto muerto basado en Solana. Luego, la RAT establece comunicación con el servidor para ejecutar varios comandos en el sistema comprometido:
- start_hvnc / stop_hvnc, para implementar un módulo de Computación de red posible oculta (HVNC) para comunicación a escritorio remoto.
- start_socks / stop_socks, para iniciar un módulo WebRTC y ejecutarlo como proxy SOCKS.
- reget_log, para robar datos de navegadores web, como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi y Mozilla Firefox. El componente está equipado para eludir las protecciones de oculto vinculado a aplicaciones (ABE) de Chrome.
- get_system_info, para mandar información del sistema.
- comando, para ejecutar JavaScript proporcionado por el atacante a través de eval().
La RAT incluso instala a la fuerza una extensión de Google Chrome emplazamiento Google Docs Offline en sistemas Windows y macOS, que luego se conecta a un servidor C2 y recibe comandos emitidos por el cirujano, lo que permite resumir cookies, almacenamiento almacén, el árbol completo del Maniquí de objetos de documento (DOM) de la pestaña activa, marcadores, capturas de pantalla, pulsaciones de teclas, contenido del portapapeles, hasta 5000 entradas del historial del navegador y la repertorio de extensiones instaladas.
“La extensión incluso realiza vigilancia de sesión específica. Extrae las reglas del sitio monitoreado de /api/get-url-for-watch y se envía con Bybit (.bybit.com) preconfigurado como objetivo, vigilando las cookies de token seguro y de identificación del dispositivo”, dijo Aikido. “Al ser detectado, activa un webhook detectado por autenticación a /api/webhook/auth-detected que contiene el material de la cookie y los metadatos de la página. El C2 incluso puede proporcionar reglas de redireccionamiento que fuerzan las pestañas activas a URL controladas por el atacante”.
El descubrimiento coincide con otro cambio en las tácticas de GlassWorm, con los atacantes publicando paquetes npm haciéndose advenir por el servidor WaterCrawl Model Context Protocol (MCP) (“@iflow-mcp/watercrawl-watercrawl-mcp) para distribuir cargas aperos maliciosas.
“Este es el primer paso confirmado de GlassWorm alrededor de el ecosistema MCP”, dijo el investigador de seguridad de Koi, Lotan Sery. “Y regalado lo rápido que está creciendo el incremento asistido por IA, y cuánta confianza se otorga a los servidores MCP por diseño, este no será el zaguero”.
Se recomienda a los desarrolladores que tengan cuidado al instalar extensiones Open VSX, paquetes npm y servidores MCP. Asimismo se recomienda demostrar los nombres de los editores, los historiales de paquetes y evitar abandonarse ciegamente en los recuentos de descargas. La empresa polaca de ciberseguridad AFINE ha publicado una utensilio Python de código extenso emplazamiento glassworm-hunter para escanear los sistemas de los desarrolladores en pesquisa de cargas aperos asociadas con la campaña.
“El cazador de gusanos de vidrio no realiza ninguna solicitud de red durante el escaneo”, dijeron los investigadores Paweł Woyke y Sławomir Zakrzewski. “Sin telemetría. Sin llamadas telefónicas a casa. Sin comprobaciones automáticas de actualizaciones. Solo lee archivos locales. La modernización de Glassworm-hunter es el único comando que toca la red. Obtiene la última cojín de datos de IoC de nuestro GitHub y la guardaspaldas localmente”.
