el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaLos investigadores descubren paquetes PyPI que roban pulsaciones de teclas y secuestran...

Los investigadores descubren paquetes PyPI que roban pulsaciones de teclas y secuestran cuentas sociales

Los investigadores de ciberseguridad han detectado dos paquetes maliciosos que se cargaron en el repositorio Python Package Index (PyPI) y venían equipados con capacidades para filtrar información confidencial de los hosts comprometidos, según nuevos hallazgos de Fortinet FortiGuard Labs.

Los paquetes, llamados zebo y cometlogger, atrajeron 118 y 164 descargas cada uno, antaño de ser eliminados. Según las estadísticas de ClickPy, la mayoría de estas descargas provinieron de Estados Unidos, China, Rusia e India.

Zebo es un «ejemplo característico de malware, con funciones diseñadas para vigilancia, filtración de datos y control no calificado», dijo la investigadora de seguridad Jenna Wang, añadiendo que cometlogger «igualmente muestra signos de comportamiento ladino, incluida la manipulación dinámica de archivos, la inyección de webhooks, el robo de información, y controles anti-(máquinas virtuales)».

El primero de los dos paquetes, zebo, utiliza técnicas de ofuscación, como cadenas codificadas en hexadecimal, para ocultar la URL del servidor de comando y control (C2) con el que se comunica a través de solicitudes HTTP.

Igualmente incluye una serie de funciones para resumir datos, incluido el uso de la biblioteca pynput para capturar pulsaciones de teclas e ImageGrab para tomar capturas de pantalla periódicamente cada hora y guardarlas en una carpeta particular, antaño de cargarlas en el servicio tirado de alojamiento de imágenes ImgBB mediante una API. esencia recuperada del servidor C2.

Encima de filtrar datos confidenciales, el malware establece la persistencia en la máquina mediante la creación de un script por lotes que inicia el código Python y lo agrega a la carpeta de inicio de Windows para que se ejecute automáticamente en cada reinicio.

Leer  CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en medio de una explotación activa

Cometlogger, por otro costado, está repleto de funciones y extrae una amplia tonalidad de información, incluidas cookies, contraseñas, tokens y datos relacionados con la cuenta de aplicaciones como Discord, Steam, Instagram, X, TikTok, Reddit, Encogimiento nerviosa, Spotify y Roblox.

Igualmente es capaz de resumir metadatos del sistema, información de red y Wi-Fi, una repertorio de procesos en ejecución y contenido del portapapeles. Encima, incorpora controles para evitar la ejecución en entornos virtualizados y finaliza los procesos relacionados con el navegador web para certificar el comunicación sin restricciones a los archivos.

«Al ejecutar tareas de forma asincrónica, el script maximiza la eficiencia, robando grandes cantidades de datos en poco tiempo», dijo Wang.

«Si adecuadamente algunas características podrían ser parte de una útil legítima, la descuido de transparencia y la funcionalidad sospechosa hacen que su ejecución no sea segura. Examine siempre el código antaño de ejecutarlo y evite interactuar con scripts de fuentes no verificadas».

El más popular

spot_img