paint-brush
¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunkuby@moonlock
3,591 ñawinchasqakuna
3,591 ñawinchasqakuna

¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunku

by Moonlock (by MacPaw)7m2024/11/19
Read on Terminal Reader

Nishu unay; Ñawinchanapaq

Checkmarx maskaqkuna huk iskayrayasqa PyPI paquete macOS kaqmanta ruwaqkunata maskaq tarirqanku. Mientras chay paquete huk cripto token hunter bot hina rikuchikurqa, aswan ukhu qhawayqa rikuchirqa huk sofisticado dato suwakuq carga útil kaqta waqaychasqanmanta. Aswan sut’i hamut’ayta tarinapaq imayna Meme-Token-Hunter-Bot ataque ruwasqanmanta, huk diagrama de flujota bosquejarqayku sapa llamkana malware ruwaymanta rikuchiq.
featured image - ¿Cripto Herramientachu icha Datos Suwachu? Imaynatachus Meme-Token-Hunter-Bot chaymanta Clonesnin macOS Usuariokunamanta suwakunku
Moonlock (by MacPaw) HackerNoon profile picture
0-item

Qillqaqkuna: Kseniia Yamburh, MacPaw & Mykhailo Pazyniuk nisqap Moonlock nisqapi malware nisqamanta yachay maskaq, MacPaw nisqap Moonlock nisqapi malware nisqamanta yachay maskaq


Kichasqa qullqiyuq software musuqyachiypaq fundamental ichaqa kichantaqmi punkuta explotacionpaq. Kunallanraqmi Checkmarx nisqamanta yachaqkuna mana tapasqa huk iskayrayasqa PyPI paquete macOS kaqmanta ruwaqkunata qhawaq, "Meme-Token-Hunter-Bot" sutiyuq. Mientras chay paquete huk cripto token hunter bot hina rikuchikurqa, aswan ukhu qhawayqa rikuchirqa huk sofisticado dato suwakuq carga útil kaqta waqaychasqanmanta.


Moonlock kaqpi, maypi macOS kaqmanta ruwaqkunata waqaychaypi astawan yuyaykuyku, yacharqayku kaypi aswan ukhuta allanayku kasqanmanta. Qatakunata kicharisqaykuman hina, tarisqayku 10 yapasqa waqaychasqakunaman pusawarqanku — sapankan yaqa kaqlla código rakinakurqanku, sutil t'ikrakuykunawan. ¿Kaychu karqan huk makiwan ruwasqa churaypa llamk’aynin? ¿Huk campaña coordinadachu? Kaypi imaynatas investigacion ruwakurqan chayta.

Ñawpaq kaq qhawariy Aswanta huk Cripto Botllamanta

Willakuyqa qallarikun “Meme-Token-Hunter-Bot” nisqawan, huk yanapakuylla hina cripto munakuqkunapaq. README kaqninqa ruwaqkunata kamachin main.py ruwanankupaq, huk willañiqi mayqinchus sapa kuti aswan Python kaqpi ruwasqa ruwanakunapi hatun ruwayta qallarichin. Kamachiykunata qatispa, main.py kaqpi ukhuncharqayku, chaylla tarirqayku huk yanapakuq qillqata waqyachkaqta base_helper.py sutiyuq. Kay yanapaq archivoqa investigacionniykupa ruminmi kanman.

Flujo de Ataque nisqamanta mapa ruway

Aswan sut'i hamut'ayta tarinapaq imayna Meme-Token-Hunter-Bot ataque ruwasqanmanta, huk diagrama de flujota bosquejarqayku sapa llamkana malware ruwaymanta rikuchiq, qallariy churaymanta willay exfiltración kaqkama. Kay rikuy rikuchiyqa codificación chaymanta pakasqa taktikakuna qatanakuna paquete ukhupi churasqa rikuchin, imayna llamk'asqanmanta hunt'asqa qhawayta qun.

Diagrama de flujoykuqa main.py kaqwan qallarikun, qallariy punto mayqinchus base_helper.py waqyan sichus paquete macOS kaqpi purichkaqta riqsin.

Kay willañiqiqa base64-wan chiqanchasqa URLkuna chaymanta willañiqi sutikunayuq, encoded_base_key chaymanta encoded_licences hina tikraqkunapi waqaychasqa.

Kay chiqapchasqa chanikuna qillqap chiqap munayninta pakanku, URLta maskaspa mayqinchus https://coinsw[.]app/basec/ kaqman tinkin chaymanta aswan willañiqikunata ~/tmpcode/ willañiqiman uraykachin.

Huk kuti willañiqikuna uraykachisqa, qatiq llamkana diagrama de flujoykupi rikuchin mana allin software MHTBot.py sutiyuq willañiqita qallarichiyta, llapa rikukuq lluqsiyta /dev/null kaqman kutichispa—rurayninkunata pakasqa waqaychaspa ruwaqkunamanta chaymanta qhaway yanapakuykunamanta kaqlla.

MHTBot nisqa

Diagrama de flujo kaqpi, MHTBot.py ataquepi tikray hina resaltan. PyQT5 llamk'achispa, kay willañiqi huk interfaz gráfica kaqmanta ruwan mayqinchus legítimo software kaqmanta qatin, huk contraseña tapuyta chaymanta ñawpaqman puriy barrata rikuchin. Kay disfraz ruwasqa kachkan ruwaqkunata sunqu tiyachinapaq, chaymanta, chiqamanta, MHTBot.py pakallapi huk serie willayta hap'iq módulos kaqmanta qhipaman llamk'achin.

MHTBot.py huk yachaysapa evasión técnica llamk'achin: ñawpaq contraseña ruwayta "mana seguro" hina mana chaskinchu, iskay kaqllata chaskispa. Kay ruwasqa tardanzaqa ichapas rit'i caja tariymanta ayqiyta munan, imaynachus achka rit'i caja muyuriqkuna pisi puriy pachayuq kanku chaymanta tukukunman manaraq malware tukuyninpi llamk'achkaptin.

Evasión tácticasninmanta huknin hina, Meme-Token-Hunter-Bot huk tardanzata llamk'achin manaraq hatun willay suwakuy ruwayninkunata qallarichkaptin. Kay tardayqa ruwasqataqmi rit'i caja muyuriqkunawan mana tarinapaq, sapa kuti pisi puriy pachakunayuq kanku makiwan ruwasqa t'aqwiypaq. Ruwayta tardaspa, malware chansankunata yapan kay qallariy escaneokunamanta pasasqa lluqsinanpaq chaymanta chiqamanta ruwaqpa sistemanpi tukuyninpi llamk'achinanpaq.


Uraypi pantalla hap'iyqa kay tardakuymanta responsable código específico kaqmanta riqsichin. start_one_py_main_after_delayfunction 7000 milisegundos (7 segundos) tardayta qallarichin QTimer.singleShot kaqwan, chaymanta run_one_py_main ruwayta waqyan. Chaymanta kay ruwayqa hatun willay-suwakuy módulo, one.py, huk sapaq q'ipipi llamk'achin.

Datos Suwakuy

MHTBot.py tikraykuna one.py kaqman kamachisqankuhina, mana allin software kaqpa ñawpaq willay suway ruwayninkuna qallarinku. Kay qatiq codigo phatmakuna rikuchinku imayna one.py imaymana ruwanakuna chaymanta módulos llamk'achin ruwaqpa sistemanmanta sensibles willayta huñunapaq. Codigomanta sapa parteta, imapaq kasqanmantapas t’aqasun.


Ñawpaq kaq phatmapi, main() ruwayta rikunchik huk pakasqa directorio wakichiyta suwasqa willayta huk pachapaq waqaychaypaq. Mana allin software ~/.temp/premium/ pakasqa willañiqi hina ruwan willañiqikunata waqaychaypaq mana llamk'achiqman willaspa. Kay directorio churasqamanta, ruwana imaymana rutinakunata waqyan sapanchasqa ruwanakunamanta willayta huñunapaq:


  • mediax(): Yaqapaschá Apple Notes nisqakunata qhawan waqaychasqa qillqakunata hurqunapaq.

  • copy_stickies() chaymanta copy_stickies_database(): Kay ruwanakuna Stickies ruwanamanta willayta huñun.

  • backup_ssh(): Llamkanamanta SSH llavekunata huñun.

  • copy_terminal_history(): Terminalpa willakuyninkunata copian.

  • copy_ssh_and_keychain(): SSH chaymanta macOS Llaveromanta willayta hurqun.


Kay ruwanakuna achka willayta huñunapaq ruwasqa kanku ruwanakunamanta, ruwaqpa riqsichiyninkunamanta chaymanta SSH ruwanakunamanta, one.py tukuypaq willay huñuq ruway.

search_files() ruwana, qatiq codigo phatmapi rikusqa, willay huñuypa chayayta mast'arikun, sapanchasqa willañiqi layakunata qhawaspa. Kay ruwana común directoriokunapi maskan (Uraykachiykuna, Qillqakuna, Escritorio chaymanta wasi directorio) sensibles willañiqikuna mast'arisqakunayuq .txt, .csv, .json, .config chaymanta .env hina. Kay willañiqi layakunaqa sapa kuti ruwanakuna churanakuna, API llavekuna chaymanta wak chaniyuq willaykunayuq kanku.


Chaymanta tarisqa willañiqikunaqa huk pachapaq willañiqiman copiasqa, ñit'isqa, chaymantataq exfiltración nisqapaq wakichisqa. Kay llamkana mayqin willaytapas típicamente waqaychasqa ruwaqpa directorionkunapi utaq proyecto ruwana willañiqikunapi huñusqa kaqta qhawan.

Kay qatiq phatmapi, copy_terminal_history() chaymanta copy_ssh_and_keychain() ruwanakuna sinchi ruwaqpa willayta hap'inku. Kay mana allin software terminal willayta .zprofile chaymanta .zsh_history willañiqikunamanta hurqun, atikunman rikuchiyta kamachiykunata ruwaqpa ruwasqan, chaymanta ima sensibles willayta utaq credenciales terminal kaqpi qillqasqa.


Chaymanta, macOS Keychain chaymanta SSH directorioman yaykunku chifrasqa riqsichiykunata, contraseñakuna chaymanta SSH llavekuna sistemapi waqaychasqa hap'inapaq, atacadorkunaman hatun chanin riqsichiykunata quspa.

Huk aswan riqsisqa partekuna kay malware kaqmanta kanku chaymanta chay cripto billeterakuna targeting. zip_additional_wallets() ruwana específicamente maskan directoriokuna riqsisqa criptomoneda billeterakunawan tinkisqa. Kay malware sistematicamente maskan billetera archivokuna Bitcoin, Electrum, Coinomi, Exodus, chaymanta wak hatun cripto billeterakunaman perteneceq. Huk kuti riqsisqa, kay billetera directoriokuna zip ruwasqa kanku chaymanta waqaychasqa kanku huk pachapaq directorio kaqpi, listo exfiltración kaqpaq.

Kay malware kaqpiqa Telegram willay suwakuypaq ruwanakuna específico kaqtapas churan. backup_telegram() chaymanta backup_tdata() ruwanakuna Telegram willay directoriokunata maskanku, willakuykunata, tinkiykuna chaymanta mediokuna ruwanapi waqaychasqa yaykuyta munaspa. Kay willakuykunata copiaspa, mana allin software atacadores kaqmanta ruwayta atinman Telegram willakuyninkunata chaymanta medios de comunicación historianmanta.

Exfiltración nisqa

Sensible willayta huñusqanmanta, Meme-Token-Hunter-Bot willayta huk karu sirwiqman exfiltrar purin. Kay exfiltración ruwasqa huk serie ruwanakunawan mayqinkunachus willañiqi suti tikrayta, kargayta chaymanta willayta atacadorpa Telegram bot kaqninta ruwanku. Kay qatiq codigo t’aqakunan rikuchin imaynatas kay ruway ruwakun chayta.

send_telegram_message ruwana huk willayta huk ñawpaqmanta ruwasqa Telegram bot kaqman apachin, atacadores kaqman willan huk musuq huñu suwasqa willañiqikuna churasqa kasqanmanta. Kay ruwayqa atacadores sapa exfiltración kaqpi pachanpi musuqyachiykunata chaskisqankuta qhawan, chiqa pachapi willay suwakuy ruwayta qhawayta atikun.


Aswanta ch'usaqyachinapaq, mana allin software suwasqa willañiqikunata .minecraft mast'ariywan sutichan —huk mana costumbre toqlla, ichapas llika intrusión tariy sistemakuna básicos kaqmanta muyuypaq ruwasqa, mayqinkunachus sapanchasqa willañiqi layakunata qhawanku. Huk kuti sutichasqa, upload_file willayta apachiyta qallarichin atacadorpa karu sirwiqninman. Willañiqiqa iskayniyuq ñawiriy ruwaypi kichasqam, requests.post() nisqawanmi https://store1.gofile[.]io/ nisqaman, lliwpaq willañiqi rakina plataforma nisqaman churasqa.


Sichus karga allin ruwasqa (200 estado codigowan rikuchisqa), ruwana uraykachiy t'inkita kutichin, chaymanta Telegram kaqnintakama atacadorman apachisqa.

11 Waqaychasqakuna yapasqa: Aswan hatun siq’i

Investigacionniykupi, sospecharqayku Meme-Token-Hunter-Bot mana huk sapanchasqa paquete kanmanchu. Huk GitHub dirigisqata llamk'achispa tapuy ('b25lLnB5' CHANTA 'requests.get(url)'), 10 yapasqa waqaychasqakunata tarirqayku yaqa kaqlla codigoyuq. Kay waqaychasqakuna huch'uy tikraykunata willañiqi sutikunapi chaymanta UI etiquetakunapi rikuchirqanku, ichapas huk makiwan ruwasqa mast'ariy estrategia kaqwan ruwasqa achka copiakuna mana allin software kaqmanta waqaychaypaq, huk waqaychasqa banderayuq utaq hurqusqa kaptinpas.

Musphaypaq, Meme-Token-Hunter-Bot 10 killaña kachkaptinpas, 2024 watapi agosto killapilla mana allin codigokunata churayta qallarirqa, chaymanta base_helper.py —Stage-2 Python suwata uraykachinapaq willañiqi— ñawpaqta riqsichisqa karqa. Kay willañiqip qhipa musuqchasqanqa 28 ñiqin tarpuy killapi 2024 watapi ruwasqa karqan.

Huknin kaqpi, 11 yapasqa waqaychasqakuna mana allin musuqyachiyninkuta iskay killa ñawpaqta hina chaskirqanku, base_helper.py yapasqa kaptin. Kay kuskanchasqa pachaqa kay waqaychasqakuna específicamente malware rakinapaq churasqa kasqankuta yuyaychakun, qallariy allin ruwaypi chaymanta Meme-Token-Hunter-Bot kaqpi rikusqa ñankuna ruwaypi.


Chantapas tarirqayku Gatekeeper bypass kamachiykunata askha kay waqaychasqakunapi, ruwasqa ruwaqkunata pusanapaq macOS harkasqa willaykunata bypass kaqpi. Kamachiykuna huk llamkanamanta llamkanaman rikuy formato kaqpi rikuchisqa karqa, ruwaqkunata kallpachaspa paña ñit'iy ruwanapi, "Kichay" akllanankupaq, chaymanta Gatekeeperpa willayninta muyunankupaq.

Chaymantapas, 10 yapasqa waqaychasqakuna riqsisqamanta, huk variante “Solana-Bot” sutiyuqmi aswan riqsisqa karqa. Sichus kikin mana allin puriyta Meme-Token-Hunter-Bot hina qatin, pisi tikraykunata qhawarqayku, aswanta willañiqi sutikunapi chaymanta ruwana llamk'achiyta. Solana-Bot kaqpa base_helper.py willañiqimanta chaymanta Meme-Token-Hunter-Bot kaqmanta huk lado-lado diff t'aqwiy kay chiqan kaqkunata riqsichin.

Solana-Bot chaymanta Meme-Token-Hunter-Bot kaqmanta llalliq chiqanchaykuna URL tikraykunata yapan.

 "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "UENTQm90LnB5" = "https://coinsw.app/basec/PCSBot.py" <-- Solana-Bot "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "TUhUQm90LnB5" = "https://coinsw.app/basec/MHTBot.py"

Conclusion

Kay investigación Meme-Token-Hunter-Bot kaqmanta chaymanta chaywan tupaq variantes kaqmanta huk allin orquestado campaña macOS kaqmanta ruwaqkunaman riqsichin. Qallariypiqa Checkmarx kaqwan k'anchayman apamusqa, kay suwa paquete qallariypi cripto yanapakuy hina disfrazasqa aswan hatun manchachikuyman mast'arisqa. Análisisniykuqa 11 yapasqa waqaychasqakunatam tarirqa, sapakamam ñawpaq codigomanta pisilla tikrakuykunata tarirqaku. Atacadores automatizacionta llamk'achisqanku hina rikukunku kay waqaychasqakuna usqhaylla ruwanapaq, sutikunapi, UI etiquetakunapi chaymanta ruwanakunapi huch'uy tikraykunata llamk'achispa tariymanta ayqinapaq chaymanta mana tukukuq tarikuyninta qhawanapaq.


Chaywanpas, rikurqaykutaqmi riqsisqa ingeniería social taktikakunata macOS kaqmanta ruwaqkunaman dirigisqa, aswanta Gatekeeper bypass kamachiykunata. Kayqa rikuchin manchachiy ruwaqkuna kunankamapas anchata hapipakunku usuariopa confianzan explotacionpi. Kay campañapi ñawpaqman puriq técnicas rikusqa kaptinpas, kay usuario yanapasqa bypass kaqpi hapipakuyqa, usuario yachachiy hinalla kananpaq necesidadta riqsichin.


Conciencia nisqa aswan allin defiendekuymi. Moonlock blog nisqa hina yanapakuykuna moonlock.com/blog nisqapi macOS ruwaqkunaman yanapakuq hamut'aykunata quy kunan manchachiykunamanta chaymanta imayna harkayninkuta allinchaypaq.

IoCs nisqakunaqa huñusqapim kachkan: https://www.virustotal.com/gui/colección/68e7bff75a6ceb5d3d4faabfdb0e106b6527382a2b29a17c59ec3ce7d8f4233b/iocs nisqa yachay wasi