Investigadores descobriram malware dissimulado em pacotes Ruby no repositório oficial RubyGems, que vigia o que os utilizadores colocam na área de transferência via "copy-paste" com o intuito de desviar transferências de criptomoedas.
Foi detectado este tipo de malware em mais de 700 Ruby Gems, algumas delas descarregadas milhares de vezes, e a táctica utilizada é bastante simples: o typosquatting, que consiste em usar nomes idênticos ao de Gems populares.
Por exemplo, quem usar o pacote atlas-client em vez do atlas_cliente ficará com malware no seu programa, tal como acontecerá com quem usar o rspec-mokcs em vez do rspec-mocks. E isto para mais de 700 casos que foram detectados até ao momento. Para esconder a sua funcionalidade, estes pacotes escondiam o código malicioso codificado dentro de um ficheiro que se fazia passar por uma imagem, que era descodificado quando o programa era executado. O script malicioso descodificado é o que se pode ver a seguir,
O script junta-se automaticamente ao processo de arranque do Windows, para que fique sempre activo a partir do momento da infecção, mesmo após um reboot. E de seguida vigia a área de transferência para tentar identificar endereços de transferências de criptomoedas, sendo que nesse caso troca o endereço copiado pelo utilizador para um fornecido pelo atacante.
Uma vez que funciona de forma completamente local, sem comunicar com servidores externos, não causa sinais de alarme... até ao momento em que o utilizador perceba que as suas criptomoedas foram para uma conta desconhecida em vez da conta para onde deveriam ir.
A parte positiva é que, até ao momento, parece não ter sido feita qualquer transferência para o endereço utilizado por este malware injectado no RubyGems.
O script junta-se automaticamente ao processo de arranque do Windows, para que fique sempre activo a partir do momento da infecção, mesmo após um reboot. E de seguida vigia a área de transferência para tentar identificar endereços de transferências de criptomoedas, sendo que nesse caso troca o endereço copiado pelo utilizador para um fornecido pelo atacante.
Uma vez que funciona de forma completamente local, sem comunicar com servidores externos, não causa sinais de alarme... até ao momento em que o utilizador perceba que as suas criptomoedas foram para uma conta desconhecida em vez da conta para onde deveriam ir.
A parte positiva é que, até ao momento, parece não ter sido feita qualquer transferência para o endereço utilizado por este malware injectado no RubyGems.
Sem comentários:
Enviar um comentário (problemas a comentar?)