Descubren paquetes con malware en proyectos del repositorio oficial Python

 Las amenazas se dirigen tanto a Windows como Linux y el payload final es un backdoor personalizado. En algunos casos la carga útil es el W4SP Stealer, o un monitor de portapapeles para robar criptomonedas, o ambos.

ESET Research ha descubierto un grupo de proyectos Python maliciosos que se distribuyen en PyPI, el repositorio oficial de paquetes Python. La amenaza se dirige tanto a sistemas Windows como Linux y suele entregar un backdoor personalizado. En algunos casos, la carga útil final es una variante del infame W4SP Stealer, o un simple monitor del portapapeles para robar criptomonedas, o ambas cosas. En mayo de 2023, informamos sobre otro grupo de paquetes que encontramos en PyPI que proporciona malware de robo de contraseñas y criptomonedas, pero los dos grupos parecen ser campañas diferentes.

Puntos clave de este blogpost:

• ESET Research descubrió 116 paquetes maliciosos en PyPI, el repositorio oficial de software para el lenguaje de programación Python, subidos en 53 proyectos.
• Las víctimas han descargado estos paquetes más de 10.000 veces.
• Desde mayo de 2023, la tasa de descarga es de más o menos 80 al día.
• El malware un backdoor capaz de ejecutar comandos de forma remota, realizar exfiltraciones y tomar capturas de pantalla.
• El componente backdoor está implementado tanto para Windows, en Python, como para Linux, en Go.
• En algunos casos, el payload final es W4SP Stealer o un monitor de portapapeles que roba criptomoneda, o ambos.

PyPI es popular entre los programadores de Python para compartir y descargar código. Dado que cualquiera puede contribuir al repositorio, el malware —a veces haciéndose pasar por bibliotecas de código legítimas y populares— puede aparecer allí. Encontramos 116 archivos (distribuciones fuente y ruedas) de 53 proyectos que contenían malware.

Algunos nombres de paquetes parecen similares a otros legítimos, pero creemos que la principal forma en que son instalados por las víctimas potenciales no es a través de typosquatting, sino de ingeniería social, donde las víctimas son guiadas a través de la ejecución de pip install {nombre-del-paquete} para poder utilizar el paquete "interesante".

A lo largo del año pasado, las víctimas descargaron estos archivos más de 10.000 veces; véase la Figura 1.

Figura 1: Descargas de paquetes maliciosos en el último año desde PyPI usando pip

Infestando PyPI

Los paquetes de PyPI pueden adoptar dos formas: paquetes fuente, que contienen todo el código fuente del proyecto y se construyen al instalarse, y paquetes precompilados (llamados wheels), que pueden contener módulos compilados para un sistema operativo o versión de Python específicos. Curiosamente, en algunos casos el código Python de la distribución fuente difiere del de la distribución compilada. La primera está limpia, mientras que la segunda contiene el código malicioso. El gestor de paquetes de Python, pip, favorece una rueda cuando está disponible en lugar de una distribución fuente. Como resultado, la maliciosa se instala a menos que se solicite explícitamente lo contrario.

Hemos observado que los operadores detrás de esta campaña utilizan tres técnicas para empaquetar código malicioso en paquetes de Python.

Módulo malicioso test.py

La primera técnica consiste en colocar un módulo "test" con código ligeramente ofuscado dentro del paquete. La Figura 2 muestra un archivo test.py con una función llamada graby que se define y luego se llama. Observe que la función maneja tanto sistemas Windows como Linux.

Figura 2. Código ligeramente ofuscado dentro del paquete test.py

Este módulo de prueba se importa en medio del código fuente del módulo principal del paquete(__init__.py), de modo que el código malicioso se ejecuta siempre que se importa el paquete. La Figura 3 muestra un módulo que se hace pasar por un capturador de pantalla e importa el malicioso test.py.

Figura 3. En algunos paquetes, el módulo principal importa el código malicioso

PowerShell en setup.py

La segunda técnica consiste en incrustar código PowerShell en el archivo setup.py, que suelen ejecutar automáticamente gestores de paquetes como pip para ayudar a instalar proyectos Python.

La Figura 4 muestra un script PowerShell que descarga y ejecuta la siguiente etapa. 

Figura 4. En algunos paquetes, un script PowerShell malicioso está incrustado en el archivo setup.py

Este script PowerShell descarga transfer[.]sh/eyRyPT/Updater.zip en un directorio temporal como update.zip. A continuación, el script descomprime el archivo ZIP en C:\ProgramData y lo elimina del directorio temporal. Luego, el script ejecuta el programa pip para instalar las dependencias. Finalmente, ejecuta el código Python en C: \ProgramData\Updater\server.pyw.

Esta técnica solo funciona en Windows y no infestará los sistemas Linux.

En los metadatos del paquete de la Figura 4, puede que haya observado que el autor del paquete es billythegoat356. Ha habido numerosos informes que asocian este apodo con actividades maliciosas, incluyendo un artículo de Phylum, donde revelan el posible vínculo de Billy con W4SP Stealer.

Solo malware…

En la tercera técnica, los operadores no hacen ningún esfuerzo por incluir código legítimo en el paquete, de modo que solo está presente el código malicioso, en una forma ligeramente ofuscada. La figura 5 muestra dos fragmentos de código malicioso para Windows que se escriben en archivos temporales y luego se ejecutan con pythonw.exe, que se utiliza en lugar de python.exe para que el código se ejecute sin abrir una ventana de consola.

Figura 5. En algunos paquetes, solo hay código ligeramente ofuscado

Las siguientes etapas son paquetes Python, scripts o archivos binarios descargados desde Dropbox o transfer.sh.

Persistencia

En Windows, la persistencia se consigue la mayoría de las veces a través de un archivo VBScript Encoded (VBE), que es un archivo VBScript codificado, escrito en %APPDATA%/Pythonenv/pythenenv.vbe. La Figura 6 muestra cmd.exe ocultando el directorio %APPDATA%/Pythonenv, ejecutando pythenenv.vbe, y luego programando el archivo VBE para que se ejecute cada cinco minutos bajo la tarea MicrosoftWinRaRUtilityTaskB.

Figura 6. La Persistencia en sistemas Windows se consigue con una tarea 

En Linux, la persistencia se consigue colocando una entrada maliciosa en el escritorio, mate-user-share.desktop, en el directorio ~/.config/autostart/, como se ve en la Figura 7. Los archivos ubicados en el directorio autostart se ejecutan cada vez que se inicia el sistema. La entrada de escritorio utiliza el nombre de un subproyecto MATE para su nombre de archivo, pero es solo para reducir sospechas porque no tiene nada que ver con el entorno de escritorio.

Figura 7. La persistencia en sistemas Linux se consigue a través del directorio de autoarranque

La Figura 7 también muestra que el móulo descarga dl.dropbox[.]com/s/u3yn2g7rewly4nc/proclean en ~/.config/.kde/.kdepath. Esto es probablemente un esfuerzo para hacerse pasar por un directorio de configuración para la interfaz gráfica de usuario Plasma de KDE para Linux.

Al ejecutar el archivo mate-user-share.desktop, se ejecuta el archivo .kdepath descargado, que es el archivo ejecutable de Linux que contiene el componente backdoor.

Payload final

Normalmente, el payload final es un backdoor personalizado que permite la ejecución remota de comandos, la exfiltración de archivos y,en ocasiones, incluye la capacidad de realizar capturas de pantalla. En Windows, el backdoor se implementa en Python.

La figura 8 muestra el backdoor creando una conexión de socket TCP a blazywound.ignorelist[.]com en el puerto 6001. Tras enviar el nombre de host, la dirección MAC y el nombre de usuario al servidor de C&C, el backdoor gestionará directamente algunos comandos o ejecutará cualquier otro comando en un proceso independiente y devolverá la salida del comando y cualquier información de error al servidor.

Figura 8. Implementación del backdoor en 

Python

En Linux, el backdoor está implementado en Go; ver Figura 9.

Figura 9 . Implementación del Backdoor en GO

En algunos casos, en lugar del backdoor, el payload es una variante del infame W4SP Stealer, o un simple monitor de portapapeles que roba criptomonedas, o ambos. La Figura 10 muestra un monitor de portapapeles dirigido a las criptomonedas Bitcoin, Ethereum, Monero y Litecoin. El malware utiliza el paquete legítimo pyperclip para comprobar el contenido del portapapeles en busca de direcciones de monederos. Si la encuentra, el malware copia una dirección controlada por el atacante en el portapapeles con la esperanza de que la víctima pegue esta dirección en una futura transacción de criptomoneda.

Figura 10. Un simple monitor del portapapeles implementado en Python

Los productos de ESET detectan los paquetes Python maliciosos como variantes de Python/Agent y Python/TrojanDownloader, y el backdoor como Python/Agent.AOY o Linux/Spy.Agent.BB.

La mayoría de los paquetes ya habían sido retirados por PyPI en el momento de esta investigación. ESET se comunicó con PyPI para tomar medidas contra los restantes y todos los paquetes maliciosos conocidos están ahora fuera de línea. La lista completa de 116 paquetes se puede encontrar en nuestro repositorio de GitHub.

Vale la pena señalar que el malware en un repositorio de proyectos PyPI no es un problema de seguridad con PyPI en sí. De hecho, el software que ejecuta PyPI fue auditado recientemente por una empresa externa que evaluó que PyPl "se ajustaba a las mejores prácticas ampliamente aceptadas".

Conclusión

Los ciberatacantes siguen abusando de PyPI para comprometer los dispositivos de los programadores de Python. Esta campaña muestra una variedad de técnicas utilizadas para incluir malware en paquetes Python. Los desarrolladores de Python deberían examinar minuciosamente el código que descargan, especialmente en busca de estas técnicas, antes de instalarlo en sus sistemas. Además de seguir abusando del código abierto W4SP Stealer, los operadores también han desplegado una puerta trasera sencilla pero eficaz. Creemos que este tipo de abuso de PyPI continuará y aconsejamos precaución a la hora de instalar código de cualquier repositorio de software público.

Fuente: welivesecurity.com

¿Qué es el Stalkerware y cuáles son sus riesgos más allá de la ciberseguridad?

Te contamos la situación actual de este tipo de software malicioso diseñado para espiar y acechar, y que puede ser un riesgo más allá de la vida digital.

¿Qué es el Stalkerware y cuáles son sus riesgos más allá de la ciberseguridad?

La tecnología se ha integrado tanto en nuestras vidas que a menudo pasamos por alto los riesgos asociados con su uso. Una de las amenazas preocupantes y perturbadoras que se ha dado en los últimos años es el stalkerware, un tipo de software malicioso diseñado para espiar y acechar a individuos sin su consentimiento.

También conocido como software de espionaje o spyware, es una forma invasiva de software que se instala en dispositivos móviles o computadoras sin el conocimiento del usuario.

Su propósito principal es monitorear de manera encubierta las actividades de la víctima, desde mensajes de texto y llamadas telefónicas hasta ubicaciones GPS, correos electrónicos, historial de navegación y más. Lo alarmante es que a menudo es instalado por alguien cercano a la víctima, como un compañero íntimo, un familiar o un acosador.

Situación actual

Hace unos años hablábamos del Stalkerware para Android como una amenaza cada vez más peligrosa con riesgos incluso para quienes espian. En aquel entonces, los datos de la telemetría ESET había detectado un aumento del stalkerware en estos sistemas operativos.

Como muestra el siguiente gráfico, podemos notar un descenso de la actividad de este tipo de software, aunque no implica que su actividad este fuera de juego.

Datos de la telemetría ESET, detecciones de stalkerware

Riesgos y Consecuencias

Es importante entender que el uso de stalkerwares tiene implicaciones graves para la privacidad, la seguridad y el bienestar emocional de las personas afectadas. Además de violar la intimidad, puede llevar a situaciones de acoso, manipulación, chantaje e incluso violencia física. Las víctimas pueden sentirse constantemente vigiladas, experimentar estrés emocional extremo e incluso ser coaccionadas debido a la información recopilada por el stalkerware.

Detección y Prevención

Si bien detectar el stalkerware puede ser difícil, ya que a menudo opera en segundo plano, ocultándose entre las aplicaciones legítimas. Algunos signos comunes de presencia de stalkerware incluyen un rápido agotamiento de la batería, un rendimiento lento del dispositivo o el uso de datos inusualmente alto. 

Para prevenir el stalkerware, puedes implementar las siguientes medidas:

• Mantener los dispositivos actualizados con software y aplicaciones de seguridad confiables.
• Evitar el jailbreak o el rooteo del dispositivo
• Utilizar contraseñas seguras
• Habilitar la autenticación de dos factores

Acciones Legales y Éticas

El uso del stalkerware plantea serios problemas éticos y legales. En muchos países, la instalación de stalkerware sin el consentimiento explícito de la persona monitoreada es ilegal y puede conllevar consecuencias legales para el perpetrador. Algunos gobiernos y organizaciones están tomando medidas para regular y penalizar el desarrollo, distribución y uso de este tipo de software.

Apoyo y Recursos

Para las víctimas de stalkerware, buscar apoyo es fundamental. Organizaciones dedicadas a la lucha contra la violencia doméstica y el acoso, así como los servicios de asesoramiento y líneas directas de ayuda, pueden proporcionar orientación, recursos y asistencia para abordar esta situación tan delicada.

En última instancia, la concientización sobre el stalkerware y la promoción de la importancia del consentimiento digital son pasos fundamentales para combatir este problema.

Fuente: welivesecurity.com

La importancia de los ejercicios de Red Team

En la actualidad, todas las organizaciones se enfrentan a un desafío constante al intentar implantar una defensa efectiva de sus activos frente a las ciberamenazas. La seguridad de la información para las organizaciones ya no tiene solo una función de soporte; sino que actualmente se trata de un pilar crítico para la continuidad empresarial. Una de las practicas más proactivas y efectivas para fortalecer la seguridad de la información es la ejecución de ejercicios de Red Team.

Estos son ejecutados por expertos en seguridad ofensiva, quienes simulan el comportamiento y las tácticas que se le presuponen a los actores maliciosos, con el objetivo de comprobar y probar la eficacia de las herramientas, políticas, procedimientos y elementos de seguridad de una organización. Esta manera de poner al límite las defensas de las empresas tiene unas ventajas muy grandes, como ya han respaldado algunos estudios relevantes.

La primera de las ventajas de ejecutar un ejercicio de Red Team es que constituye una evaluación realista del estado de la seguridad de la información, ya que tiene la capacidad de evaluar la seguridad de una organización desde la perspectiva de un adversario. A diferencia de las pruebas puntuales de pentest y/o de análisis de vulnerabilidades, los equipos de Red Team emplean tácticas, técnicas y procedimientos (TTP) utilizados por ciberdelincuentes, proporcionando una evaluación auténtica de la preparación de la organización.

Un estudio publicado en el Journal of Cybersecurity afirma que los ejercicios de Red Team ayudan a identificar las debilidades de seguridad que de otro modo pasarían desapercibidas en evaluaciones estáticas, haciendo hincapié en la importancia de una perspectiva adversarial. En esta línea, también se ha destacado esta validación práctica de las medidas de seguridad como crucial, teniendo en cuenta que incluso las defensas más sofisticadas pueden tener puntos débiles que solo se revelan bajo el escrutinio riguroso de un Red Team.

Los ejercicios de Red Team no solo revelan debilidades, sino que también ponen a prueba la capacidad de respuesta de una organización ante un ataque. Al simular ataques, las organizaciones pueden evaluar y mejorar sus procedimientos de detección y respuesta ante incidentes.

Según un artículo en la revista Forbes, las organizaciones que realizan ejercicios de Red Team regularmente responden de manera más rápida y efectiva a los incidentes de seguridad, reduciendo el impacto potencial de un ataque real.

La seguridad de la información no es solo responsabilidad del departamento de ciber o IT; sino que requiere un esfuerzo colaborativo y cultural de la organización, que necesita la involucración de todos los empleados. Por lo tanto, estos ejercicios sirven para educar al personal de la organización sobre las tácticas que utilizan los actores maliciosos y fomentar una cultura de concienciación sobre la ciberseguridad.

Un artículo de Harvard Business Review destaca que, al experimentar directamente ataques simulados, los empleados aprenden mejor la lección y están más preparados para reconocer y responder a amenazas reales, lo que refuerza el eslabón más débil en la seguridad de la información: el humano.

Los ejercicios de Red Team son una magnífica herramienta, con un alto valor en el arsenal de medidas defensivas de ciberseguridad para cualquier organización. Al ofrecer una visión más realista, ayuda a mejorar la detección y la respuesta a incidentes, además de a educar a los empleados, validar medidas, controles y, por supuesto, fomentar una mejora continua.

En un mundo donde la ciberseguridad ha de ser una de las máximas prioridades, la inversión en ejercicios de Red Team no es solo una opción, sino una necesidad para garantizar la resiliencia y el éxito empresarial a largo plazo.

Fuente: bitlifemedia.com

Informe del NCSC: Avances en IA podrían frenar ciberamenazas

El informe del Centro Nacional de Ciberseguridad destaca la ingeniería social como un área crítica en la que la IA mejorará significativamente las capacidades, haciendo que los ataques de phishing sean más convincentes y más difíciles de detectar.

Según un informe del Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), la inteligencia artificial (IA) aumentará significativamente las ciberamenazas en los próximos dos años, especialmente los ataques de ransomware.

En su informe, el NCSC expone cómo se puede equilibrar el efecto de la IA en las ciberamenazas aprovechándola para reforzar la ciberseguridad mediante la detección y la mejora del diseño. Sin embargo, recomendaba realizar más estudios para calibrar cómo los avances de la IA en ciberseguridad mitigarán el impacto de las amenazas.

Un ataque de ransomware es un ciberataque en el que se despliega software malicioso para cifrar los archivos o todo el sistema de una víctima. A continuación, los atacantes exigen un rescate, normalmente en criptomonedas, para proporcionar a la víctima la clave de descifrado o las herramientas para restaurar el acceso a sus datos.

Se espera que la influencia de la IA en las amenazas cibernéticas varíe, favoreciendo a los actores estatales avanzados con más acceso a sofisticadas operaciones cibernéticas impulsadas por IA. El informe destaca la ingeniería social como un área crítica en la que la IA mejorará significativamente las capacidades, haciendo que los ataques de phishing sean más convincentes y más difíciles de detectar.

Tabla que muestra el alcance del aumento de capacidades provocado por la IA para los próximos dos años. Fuente: NCSC

El informe del NCSC afirma que la IA mejorará principalmente las capacidades de los agentes de amenazas en ingeniería social. La IA generativa ya puede crear interacciones convincentes, como documentos que engañan a las personas, libres de errores de traducción y gramaticales habituales en el phishing, y se espera que esta tendencia aumente en los próximos dos años a medida que los modelos evolucionen y ganen popularidad. 

Apoyando esta afirmación, James Babbage, Director General de Amenazas de la Agencia Nacional contra la Delincuencia, declaró que:

"Los servicios de IA reducen las barrerasde entrada, aumentando el número de ciberdelincuentes, y potenciarán su capacidad al mejorar la escala, velocidad y eficacia de los métodos de ataque existentes. El fraude y los abusos sexuales a menores también pueden verse especialmente afectados".

La evaluación del NCSC señala los desafíos en la resiliencia cibernética debido a modelos de IA como la IA generativa y los grandes modelos de lenguaje. Estos modelos dificultan la verificación de la legitimidad de los correos electrónicos y las solicitudes de restablecimiento de contraseñas. El tiempo cada vez menor que transcurre entre las actualizaciones de seguridad y el exploit de las amenazas dificulta a los gestores de redes la tarea de parchear rápidamente las vulnerabilidades.

Aprovechar la IA avanzada en las operaciones cibernéticas requiere experiencia, recursos y acceso a datos de calidad, por lo que los actores estatales altamente capacitados son los mejor posicionados para aprovechar el potencial de la inteligencia artificial. Según el informe, otros agentes estatales y empresas comerciales experimentarán un aumento moderado de sus capacidades en los próximos 18 meses. 

A pesar de que el NCSC reconoce la importancia de las habilidades, las herramientas, el tiempo y el dinero para utilizar la IA avanzada en operaciones cibernéticas, el informe afirma que estos factores serán menos cruciales a medida que los modelos de IA se generalicen. Se prevé que la accesibilidad de las herramientas cibernéticas basadas en IA aumente a medida que los grupos capaces moneticen las ciberherramientas basadas en IA, poniendo la capacidad mejorada a disposición de cualquiera que esté dispuesto a pagar.

Para identificar cuándo los actores de amenazas han sido capaces de aprovechar eficazmente la IA, el informe señala que se producirá un aumento del volumen, la complejidad y el impacto de las operaciones cibernéticas. Lindy Cameron, CEO del NCSC, se refirió a la necesidad de que el Gobierno aproveche primero el potencial de la IA y gestione al mismo tiempo sus riesgos:

"Debemos asegurarnos de que aprovechamos el enorme potencial de la tecnología de la IA y de que gestionamos sus riesgos, incluidas sus implicaciones en la amenaza cibernética".

Para hacer frente a esta amenaza creciente, el gobierno británico invirtió 2,600 millones de libras esterlinas en 2022 en el marco de su Estrategia de Ciberseguridad para mejorar la resistencia del Reino Unido.

Fuente: es.cointelegraph.com

Protege tu empresa: 5 consejos para clave para implementar chatbots en ciberseguridad

 

• Noventiq ha introducido su innovador asistente virtual (AV), diseñado para proporcionar información adaptándose a las necesidades específicas de las empresas.

Los chatbots están transformando la manera en que las empresas manejan las solicitudes de información y asistencia técnica, con el objetivo de mejorar significativamente los tiempos de respuesta, disminuir los costos asociados a los departamentos de soporte, y elevar la satisfacción general de los usuarios de manera considerable. Por ello, gran parte de las instituciones buscan establecer interacciones eficientes con sus clientes, y los chatbots, o asistentes virtuales, están ganando una presencia creciente en diversas industrias.

Según un estudio realizado por Neo Consulting, se estima que más del 75% de los peruanos, prefieren el uso de chatbots. Esto se debe a la capacidad de los asistentes virtuales para ofrecer respuestas de manera continua a lo largo de todo el día, atender consultas habituales e incluso iniciar conversaciones proactivas y ofrecer sugerencias.

De acuerdo con Noventiq, proveedor global líder y de soluciones y servicios en transformación digital y ciberseguridad, los asistentes virtuales (AV) son también un paso decisivo a la seguridad informática de las organizaciones. “Los chatbots desempeñan un papel esencial en el ámbito de la ciberseguridad al identificar amenazas, gestionar incidentes de manera automática, interactuar con usuarios y automatizar tareas para reforzar la seguridad organizativa. Su habilidad para aprender y evolucionar constantemente contribuye significativamente a la efectividad a largo plazo”, puntualizo Orlando Perea, Gerente General de Noventiq Perú.

Tras ello, el especialista recomienda 5 consejos para el correcto uso de los chatbots en ciberseguridad.

1. Detección de amenazas: Los chatbots están equipados con algoritmos y reglas predefinidas para detectar patrones de actividad sospechosa o posibles amenazas cibernéticas. Se pueden monitorear eventos en tiempo real, como registros de acceso, para identificar comportamientos anómalos.

2. Análisis de datos en tiempo real: Poseen la capacidad de examinar grandes cantidades de datos en tiempo real, como registros de eventos y alertas de seguridad. Utilizan técnicas de aprendizaje automático para detectar patrones y relaciones que podrían señalar posibles amenazas.

3. Integración con sistemas de seguridad: Se integran con sistemas de seguridad existentes, como plataformas de gestión de eventos e información de seguridad (SIEM) y soluciones de prevención de intrusiones, para acceder a información relevante y mejorar la coordinación de respuestas.

4. Aprendizaje continuo: Pueden aprender de incidentes pasados y ajustar sus algoritmos para mejorar la precisión y eficacia con el tiempo. Esto implica un proceso de retroalimentación continua que ayuda a adaptarse a nuevas amenazas.

5. Notificación y alertas: Proporcionan notificaciones y alertas en tiempo real sobre posibles amenazas. Esto permite a los equipos de seguridad responder de manera rápida y eficiente a eventos críticos.

Fuente: revistaeconomia.com