paint-brush
¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunku by@moonlock
4,049 ñawinchasqakuna
4,049 ñawinchasqakuna

¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunku

by Moonlock (by MacPaw)
Moonlock (by MacPaw) HackerNoon profile picture

Moonlock (by MacPaw)

@moonlock

Cybersecurity tech for humans

7 min read2024/11/19
Read on Terminal Reader
Read this story in a terminal
Print this story
tldt arrow
qu-flagQU
Ñawinchay kay willakuyta en quechua!
en-flagEN
Read this story in the original language, English!
tr-flagTR
Bu hikayeyi Türkçe okuyun!
es-flagES
Lee esta historia en Español!
ja-flagJA
この物語を日本語で読んでください!
he-flagHE
קרא את הסיפור הזה בעברית!
sv-flagSV
Läs denna berättelse på svenska!
mk-flagMK
Прочитајте ја оваа приказна на македонски!
zu-flagZU
Funda le ndaba ngesiZulu!
tg-flagTG
Ин қиссаро бо забони тоҷикӣ хонед!
ms-flagMS
Baca cerita ini dalam bahasa Melayu!
ps-flagPS
دا کیسه په پښتو ژبه ولولئ!
am-flagAM
ይህንን ታሪክ በአማርኛ ያንብቡ!
QU

Nishu unay; Ñawinchanapaq

Checkmarx maskaqkuna huk iskayrayasqa PyPI paquete macOS kaqmanta ruwaqkunata maskaq tarirqanku. Mientras chay paquete huk cripto token hunter bot hina rikuchikurqa, aswan ukhu qhawayqa rikuchirqa huk sofisticado dato suwakuq carga útil kaqta waqaychasqanmanta. Aswan sut’i hamut’ayta tarinapaq imayna Meme-Token-Hunter-Bot ataque ruwasqanmanta, huk diagrama de flujota bosquejarqayku sapa llamkana malware ruwaymanta rikuchiq.
featured image - ¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunku
Moonlock (by MacPaw) HackerNoon profile picture
Moonlock (by MacPaw)

Moonlock (by MacPaw)

@moonlock

Cybersecurity tech for humans

0-item

STORY’S CREDIBILITY

Original Reporting

Original Reporting

This story contains new, firsthand information uncovered by the writer.

Qillqaqkuna: Kseniia Yamburh, MacPaw & Mykhailo Pazyniuk nisqap Moonlock nisqapi malware nisqamanta yachay maskaq, MacPaw nisqap Moonlock nisqapi malware nisqamanta yachay maskaq


Kichasqa qullqiyuq software musuqyachiypaq fundamental ichaqa kichantaqmi punkuta explotacionpaq. Kunallanraqmi Checkmarx nisqamanta yachaqkuna mana tapasqa huk iskayrayasqa PyPI paquete macOS kaqmanta ruwaqkunata qhawaq, "Meme-Token-Hunter-Bot" sutiyuq. Mientras chay paquete huk cripto token hunter bot hina rikuchikurqa, aswan ukhu qhawayqa rikuchirqa huk sofisticado dato suwakuq carga útil kaqta waqaychasqanmanta.


Moonlock kaqpi, maypi macOS kaqmanta ruwaqkunata waqaychaypi astawan yuyaykuyku, yacharqayku kaypi aswan ukhuta allanayku kasqanmanta. Qatakunata kicharisqaykuman hina, tarisqayku 10 yapasqa waqaychasqakunaman pusawarqanku — sapankan yaqa kaqlla código rakinakurqanku, sutil t'ikrakuykunawan. ¿Kaychu karqan huk makiwan ruwasqa churaypa llamk’aynin? ¿Huk campaña coordinadachu? Kaypi imaynatas investigacion ruwakurqan chayta.

Ñawpaq kaq qhawariy Aswanta huk Cripto Botllamanta

Willakuyqa qallarikun “Meme-Token-Hunter-Bot” nisqawan, huk yanapakuylla hina cripto munakuqkunapaq. README kaqninqa ruwaqkunata kamachin main.py ruwanankupaq, huk willañiqi mayqinchus sapa kuti aswan Python kaqpi ruwasqa ruwanakunapi hatun ruwayta qallarichin. Kamachiykunata qatispa, main.py kaqpi ukhuncharqayku, chaylla tarirqayku huk yanapakuq qillqata waqyachkaqta base_helper.py sutiyuq. Kay yanapaq archivoqa investigacionniykupa ruminmi kanman.

image

Flujo de Ataque nisqamanta mapa ruway

Aswan sut'i hamut'ayta tarinapaq imayna Meme-Token-Hunter-Bot ataque ruwasqanmanta, huk diagrama de flujota bosquejarqayku sapa llamkana malware ruwaymanta rikuchiq, qallariy churaymanta willay exfiltración kaqkama. Kay rikuy rikuchiyqa codificación chaymanta pakasqa taktikakuna qatanakuna paquete ukhupi churasqa rikuchin, imayna llamk'asqanmanta hunt'asqa qhawayta qun.

image

Diagrama de flujoykuqa main.py kaqwan qallarikun, qallariy punto mayqinchus base_helper.py waqyan sichus paquete macOS kaqpi purichkaqta riqsin.

image

Kay willañiqiqa base64-wan chiqanchasqa URLkuna chaymanta willañiqi sutikunayuq, encoded_base_key chaymanta encoded_licences hina tikraqkunapi waqaychasqa.

image

Kay chiqapchasqa chanikuna qillqap chiqap munayninta pakanku, URLta maskaspa mayqinchus https://coinsw[.]app/basec/ kaqman tinkin chaymanta aswan willañiqikunata ~/tmpcode/ willañiqiman uraykachin.

image

Huk kuti willañiqikuna uraykachisqa, qatiq llamkana diagrama de flujoykupi rikuchin mana allin software MHTBot.py sutiyuq willañiqita qallarichiyta, llapa rikukuq lluqsiyta /dev/null kaqman kutichispa—rurayninkunata pakasqa waqaychaspa ruwaqkunamanta chaymanta qhaway yanapakuykunamanta kaqlla.

image

MHTBot nisqa

Diagrama de flujo kaqpi, MHTBot.py ataquepi tikray hina resaltan. PyQT5 llamk'achispa, kay willañiqi huk interfaz gráfica kaqmanta ruwan mayqinchus legítimo software kaqmanta qatin, huk contraseña tapuyta chaymanta ñawpaqman puriy barrata rikuchin. Kay disfraz ruwasqa kachkan ruwaqkunata sunqu tiyachinapaq, chaymanta, chiqamanta, MHTBot.py pakallapi huk serie willayta hap'iq módulos kaqmanta qhipaman llamk'achin.

image

MHTBot.py huk yachaysapa evasión técnica llamk'achin: ñawpaq contraseña ruwayta "mana seguro" hina mana chaskinchu, iskay kaqllata chaskispa. Kay ruwasqa tardanzaqa ichapas rit'i caja tariymanta ayqiyta munan, imaynachus achka rit'i caja muyuriqkuna pisi puriy pachayuq kanku chaymanta tukukunman manaraq malware tukuyninpi llamk'achkaptin.

image

Evasión tácticasninmanta huknin hina, Meme-Token-Hunter-Bot huk tardanzata llamk'achin manaraq hatun willay suwakuy ruwayninkunata qallarichkaptin. Kay tardayqa ruwasqataqmi rit'i caja muyuriqkunawan mana tarinapaq, sapa kuti pisi puriy pachakunayuq kanku makiwan ruwasqa t'aqwiypaq. Ruwayta tardaspa, malware chansankunata yapan kay qallariy escaneokunamanta pasasqa lluqsinanpaq chaymanta chiqamanta ruwaqpa sistemanpi tukuyninpi llamk'achinanpaq.


Uraypi pantalla hap'iyqa kay tardakuymanta responsable código específico kaqmanta riqsichin. start_one_py_main_after_delayfunction 7000 milisegundos (7 segundos) tardayta qallarichin QTimer.singleShot kaqwan, chaymanta run_one_py_main ruwayta waqyan. Chaymanta kay ruwayqa hatun willay-suwakuy módulo, one.py, huk sapaq q'ipipi llamk'achin.

image

Datos Suwakuy

MHTBot.py tikraykuna one.py kaqman kamachisqankuhina, mana allin software kaqpa ñawpaq willay suway ruwayninkuna qallarinku. Kay qatiq codigo phatmakuna rikuchinku imayna one.py imaymana ruwanakuna chaymanta módulos llamk'achin ruwaqpa sistemanmanta sensibles willayta huñunapaq. Codigomanta sapa parteta, imapaq kasqanmantapas t’aqasun.


Ñawpaq kaq phatmapi, main() ruwayta rikunchik huk pakasqa directorio wakichiyta suwasqa willayta huk pachapaq waqaychaypaq. Mana allin software ~/.temp/premium/ pakasqa willañiqi hina ruwan willañiqikunata waqaychaypaq mana llamk'achiqman willaspa. Kay directorio churasqamanta, ruwana imaymana rutinakunata waqyan sapanchasqa ruwanakunamanta willayta huñunapaq:


  • mediax(): Yaqapaschá Apple Notes nisqakunata qhawan waqaychasqa qillqakunata hurqunapaq.

  • copy_stickies() chaymanta copy_stickies_database(): Kay ruwanakuna Stickies ruwanamanta willayta huñun.

  • backup_ssh(): Llamkanamanta SSH llavekunata huñun.

  • copy_terminal_history(): Terminalpa willakuyninkunata copian.

  • copy_ssh_and_keychain(): SSH chaymanta macOS Llaveromanta willayta hurqun.


Kay ruwanakuna achka willayta huñunapaq ruwasqa kanku ruwanakunamanta, ruwaqpa riqsichiyninkunamanta chaymanta SSH ruwanakunamanta, one.py tukuypaq willay huñuq ruway.

image

search_files() ruwana, qatiq codigo phatmapi rikusqa, willay huñuypa chayayta mast'arikun, sapanchasqa willañiqi layakunata qhawaspa. Kay ruwana común directoriokunapi maskan (Uraykachiykuna, Qillqakuna, Escritorio chaymanta wasi directorio) sensibles willañiqikuna mast'arisqakunayuq .txt, .csv, .json, .config chaymanta .env hina. Kay willañiqi layakunaqa sapa kuti ruwanakuna churanakuna, API llavekuna chaymanta wak chaniyuq willaykunayuq kanku.


Chaymanta tarisqa willañiqikunaqa huk pachapaq willañiqiman copiasqa, ñit'isqa, chaymantataq exfiltración nisqapaq wakichisqa. Kay llamkana mayqin willaytapas típicamente waqaychasqa ruwaqpa directorionkunapi utaq proyecto ruwana willañiqikunapi huñusqa kaqta qhawan.

image

Kay qatiq phatmapi, copy_terminal_history() chaymanta copy_ssh_and_keychain() ruwanakuna sinchi ruwaqpa willayta hap'inku. Kay mana allin software terminal willayta .zprofile chaymanta .zsh_history willañiqikunamanta hurqun, atikunman rikuchiyta kamachiykunata ruwaqpa ruwasqan, chaymanta ima sensibles willayta utaq credenciales terminal kaqpi qillqasqa.


Chaymanta, macOS Keychain chaymanta SSH directorioman yaykunku chifrasqa riqsichiykunata, contraseñakuna chaymanta SSH llavekuna sistemapi waqaychasqa hap'inapaq, atacadorkunaman hatun chanin riqsichiykunata quspa.

image

Huk aswan riqsisqa partekuna kay malware kaqmanta kanku chaymanta chay cripto billeterakuna targeting. zip_additional_wallets() ruwana específicamente maskan directoriokuna riqsisqa criptomoneda billeterakunawan tinkisqa. Kay malware sistematicamente maskan billetera archivokuna Bitcoin, Electrum, Coinomi, Exodus, chaymanta wak hatun cripto billeterakunaman perteneceq. Huk kuti riqsisqa, kay billetera directoriokuna zip ruwasqa kanku chaymanta waqaychasqa kanku huk pachapaq directorio kaqpi, listo exfiltración kaqpaq.

image

Kay malware kaqpiqa Telegram willay suwakuypaq ruwanakuna específico kaqtapas churan. backup_telegram() chaymanta backup_tdata() ruwanakuna Telegram willay directoriokunata maskanku, willakuykunata, tinkiykuna chaymanta mediokuna ruwanapi waqaychasqa yaykuyta munaspa. Kay willakuykunata copiaspa, mana allin software atacadores kaqmanta ruwayta atinman Telegram willakuyninkunata chaymanta medios de comunicación historianmanta.

image

Exfiltración nisqa

Sensible willayta huñusqanmanta, Meme-Token-Hunter-Bot willayta huk karu sirwiqman exfiltrar purin. Kay exfiltración ruwasqa huk serie ruwanakunawan mayqinkunachus willañiqi suti tikrayta, kargayta chaymanta willayta atacadorpa Telegram bot kaqninta ruwanku. Kay qatiq codigo t’aqakunan rikuchin imaynatas kay ruway ruwakun chayta.

image

send_telegram_message ruwana huk willayta huk ñawpaqmanta ruwasqa Telegram bot kaqman apachin, atacadores kaqman willan huk musuq huñu suwasqa willañiqikuna churasqa kasqanmanta. Kay ruwayqa atacadores sapa exfiltración kaqpi pachanpi musuqyachiykunata chaskisqankuta qhawan, chiqa pachapi willay suwakuy ruwayta qhawayta atikun.


Aswanta ch'usaqyachinapaq, mana allin software suwasqa willañiqikunata .minecraft mast'ariywan sutichan —huk mana costumbre toqlla, ichapas llika intrusión tariy sistemakuna básicos kaqmanta muyuypaq ruwasqa, mayqinkunachus sapanchasqa willañiqi layakunata qhawanku. Huk kuti sutichasqa, upload_file willayta apachiyta qallarichin atacadorpa karu sirwiqninman. Willañiqiqa iskayniyuq ñawiriy ruwaypi kichasqam, requests.post() nisqawanmi https://store1.gofile[.]io/ nisqaman, lliwpaq willañiqi rakina plataforma nisqaman churasqa.


Sichus karga allin ruwasqa (200 estado codigowan rikuchisqa), ruwana uraykachiy t'inkita kutichin, chaymanta Telegram kaqnintakama atacadorman apachisqa.

image

11 Waqaychasqakuna yapasqa: Aswan hatun siq’i

Investigacionniykupi, sospecharqayku Meme-Token-Hunter-Bot mana huk sapanchasqa paquete kanmanchu. Huk GitHub dirigisqata llamk'achispa tapuy ('b25lLnB5' CHANTA 'requests.get(url)'), 10 yapasqa waqaychasqakunata tarirqayku yaqa kaqlla codigoyuq. Kay waqaychasqakuna huch'uy tikraykunata willañiqi sutikunapi chaymanta UI etiquetakunapi rikuchirqanku, ichapas huk makiwan ruwasqa mast'ariy estrategia kaqwan ruwasqa achka copiakuna mana allin software kaqmanta waqaychaypaq, huk waqaychasqa banderayuq utaq hurqusqa kaptinpas.

image

Musphaypaq, Meme-Token-Hunter-Bot 10 killaña kachkaptinpas, 2024 watapi agosto killapilla mana allin codigokunata churayta qallarirqa, chaymanta base_helper.py —Stage-2 Python suwata uraykachinapaq willañiqi— ñawpaqta riqsichisqa karqa. Kay willañiqip qhipa musuqchasqanqa 28 ñiqin tarpuy killapi 2024 watapi ruwasqa karqan.

image

Huknin kaqpi, 11 yapasqa waqaychasqakuna mana allin musuqyachiyninkuta iskay killa ñawpaqta hina chaskirqanku, base_helper.py yapasqa kaptin. Kay kuskanchasqa pachaqa kay waqaychasqakuna específicamente malware rakinapaq churasqa kasqankuta yuyaychakun, qallariy allin ruwaypi chaymanta Meme-Token-Hunter-Bot kaqpi rikusqa ñankuna ruwaypi.


Chantapas tarirqayku Gatekeeper bypass kamachiykunata askha kay waqaychasqakunapi, ruwasqa ruwaqkunata pusanapaq macOS harkasqa willaykunata bypass kaqpi. Kamachiykuna huk llamkanamanta llamkanaman rikuy formato kaqpi rikuchisqa karqa, ruwaqkunata kallpachaspa paña ñit'iy ruwanapi, "Kichay" akllanankupaq, chaymanta Gatekeeperpa willayninta muyunankupaq.

image

Chaymantapas, 10 yapasqa waqaychasqakuna riqsisqamanta, huk variante “Solana-Bot” sutiyuqmi aswan riqsisqa karqa. Sichus kikin mana allin puriyta Meme-Token-Hunter-Bot hina qatin, pisi tikraykunata qhawarqayku, aswanta willañiqi sutikunapi chaymanta ruwana llamk'achiyta. Solana-Bot kaqpa base_helper.py willañiqimanta chaymanta Meme-Token-Hunter-Bot kaqmanta huk lado-lado diff t'aqwiy kay chiqan kaqkunata riqsichin.

image

image

Solana-Bot chaymanta Meme-Token-Hunter-Bot kaqmanta llalliq chiqanchaykuna URL tikraykunata yapan.

 "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "UENTQm90LnB5" = "https://coinsw.app/basec/PCSBot.py" <-- Solana-Bot "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "TUhUQm90LnB5" = "https://coinsw.app/basec/MHTBot.py"

Conclusion

Kay investigación Meme-Token-Hunter-Bot kaqmanta chaymanta chaywan tupaq variantes kaqmanta huk allin orquestado campaña macOS kaqmanta ruwaqkunaman riqsichin. Qallariypiqa Checkmarx kaqwan k'anchayman apamusqa, kay suwa paquete qallariypi cripto yanapakuy hina disfrazasqa aswan hatun manchachikuyman mast'arisqa. Análisisniykuqa 11 yapasqa waqaychasqakunatam tarirqa, sapakamam ñawpaq codigomanta pisilla tikrakuykunata tarirqaku. Atacadores automatizacionta llamk'achisqanku hina rikukunku kay waqaychasqakuna usqhaylla ruwanapaq, sutikunapi, UI etiquetakunapi chaymanta ruwanakunapi huch'uy tikraykunata llamk'achispa tariymanta ayqinapaq chaymanta mana tukukuq tarikuyninta qhawanapaq.


Chaywanpas, rikurqaykutaqmi riqsisqa ingeniería social taktikakunata macOS kaqmanta ruwaqkunaman dirigisqa, aswanta Gatekeeper bypass kamachiykunata. Kayqa rikuchin manchachiy ruwaqkuna kunankamapas anchata hapipakunku usuariopa confianzan explotacionpi. Kay campañapi ñawpaqman puriq técnicas rikusqa kaptinpas, kay usuario yanapasqa bypass kaqpi hapipakuyqa, usuario yachachiy hinalla kananpaq necesidadta riqsichin.


Conciencia nisqa aswan allin defiendekuymi. Moonlock blog nisqa hina yanapakuykuna moonlock.com/blog nisqapi macOS ruwaqkunaman yanapakuq hamut'aykunata quy kunan manchachiykunamanta chaymanta imayna harkayninkuta allinchaypaq.

IoCs nisqakunaqa huñusqapim kachkan: https://www.virustotal.com/gui/colección/68e7bff75a6ceb5d3d4faabfdb0e106b6527382a2b29a17c59ec3ce7d8f4233b/iocs nisqa yachay wasi

L O A D I N G
. . . comments & more!

About Author

Moonlock (by MacPaw) HackerNoon profile picture
Moonlock (by MacPaw)@moonlock
Cybersecurity tech for humans

HANG TAGS

KAY ARTÍCULO IMAYNA RUWAYPI RIQSICHISQAN...

Read on Terminal Reader
Read this story in a terminal
 Terminal
Read this story w/o Javascript
Read this story w/o Javascript
 Lite
X REMOVE AD