El malware de secuestro del portapapeles se encuentra en las bibliotecas 725 Ruby


lenguaje-programación-ruby.png

Investigadores de seguridad de ReversingLabs dicen que descubrieron 725 bibliotecas de Ruby cargadas en el repositorio oficial de RubyGems que contenía malware destinado a secuestrar los portapapeles de los usuarios.

Los paquetes maliciosos fueron cargados en RubyGems entre el 16 y el 25 de febrero por dos cuentas: JimCarrey y PeterGibbons.

Las 725 bibliotecas, que son enumerado aquí en su totalidad, fueron retirados dos días después, el 27 de febrero, después de que el equipo de ReversingLabs notificara al equipo de seguridad de RubyGems.

Todas las bibliotecas de Ruby eran copias de bibliotecas legítimas, usaban nombres similares, funcionaban según lo previsto, pero también contenían archivos maliciosos adicionales.

El archivo adicional insertado en cada paquete se llamaba aaa.png. Sin embargo, ReversingLabs dice que este archivo no period una imagen PNG, sino que period un ejecutable de Home windows PE.

La instalación de cada una de las bibliotecas maliciosas desencadenó una cadena de infección que se veía así:

  • El archivo PE dejó caer un script Ruby llamado aaa.rb que contiene el intérprete Ruby y todas las dependencias necesarias para ejecutarse.
  • El script de Ruby luego dejó caer un script de Visible Simple llamado oh.vbs
  • Este script luego configura una clave de registro de ejecución automática
  • La clave de ejecución automática luego ejecutó un segundo script de Visible Essential cada vez que una computadora se ejecutó / reinició
  • Este segundo script capturaría los datos enviados al portapapeles, buscaría patrones de texto que parecieran direcciones de criptomonedas y luego reemplazaría el texto con la dirección del atacante.
attack-pattern.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/04/17/6624f5ae-2e7a-4a6c-bbf5-da064d6e93fa/attack-pattern.png

Imagen: ReversingLabs

ReversingLabs dice que las bibliotecas fueron descargadas por miles de usuarios. Sin embargo, de un Dirección de Bitcoin compartido por investigadores en su informe, parece que los atacantes no pudieron secuestrar ningún pago durante su reciente ataque

Los investigadores dicen que creen que este ataque fue llevado a cabo por la misma persona / grupo que cargó bibliotecas con malware en el repositorio de paquetes RubyGems antes, en 2018 y 2019: ambos incidentes utilizando técnicas similares y también destinados a robar dinero de los usuarios de criptomonedas.

Esto también marca la segunda vez que ReversingLabs encuentra bibliotecas maliciosas cargadas en un repositorio de paquetes. En julio de 2019, la compañía también encontró tres bibliotecas maliciosas de Python cargadas en el portal PyPI.



Enlace a la noticia unique