Alerta por GlassWorm: Malware utiliza Solana para robar datos sensibles
Publicado el
Introducción
Investigadores en ciberseguridad han identificado una nueva variante de la campaña GlassWorm, que utiliza un marco de múltiples etapas para robar datos y desplegar un troyano de acceso remoto (RAT). Este malware se disfraza como una extensión offline de Google Docs y es capaz de registrar pulsaciones de teclas, capturar cookies y tokens de sesión, así como tomar capturas de pantalla.
Mecanismo de ataque
Según el investigador de Aikido, Ilyas Makari, este malware se presenta como una amenaza persistente que logra infiltrarse a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Los operadores también comprometen cuentas de mantenedores de proyectos para distribuir actualizaciones infectadas. Un aspecto notable de GlassWorm es su capacidad para eludir infecciones en sistemas con configuraciones regionales rusas, utilizando transacciones de Solana como un mecanismo de resolución para recuperar el servidor de comando y control (C2) y descargar cargas útiles específicas del sistema operativo.
Etapas del ataque
La carga útil de la segunda etapa se centra en el robo de datos, incluyendo la recolección de credenciales y la exfiltración de billeteras de criptomonedas. Los datos robados se comprimen en un archivo ZIP y se envían a un servidor externo. Además, el malware puede recuperar y lanzar la carga útil final. Una vez que se transmiten los datos, la cadena de ataque continúa con la recuperación de dos componentes adicionales: un binario de .NET diseñado para phishing de billeteras de hardware y un RAT basado en JavaScript que roba datos de navegadores.
Funcionalidad del RAT
El RAT obtiene su carga útil desde un servidor a través de un evento público de Google Calendar. Utiliza la infraestructura de Windows Management Instrumentation (WMI) para detectar conexiones de dispositivos USB y muestra ventanas de phishing al conectar billeteras de hardware como Ledger o Trezor. Estas ventanas imitan errores de configuración y solicitan frases de recuperación bajo la apariencia de un proceso legítimo.
Robo de datos
El objetivo final es capturar la frase de recuperación de la billetera y enviarla a una dirección IP específica. El RAT también tiene la capacidad de comunicarse con el servidor C2 para ejecutar comandos en el sistema comprometido, incluyendo start_hvnc para acceder de forma remota y reget_log para robar datos de navegadores como Chrome, Edge, Brave y Firefox, eludiendo las protecciones de cifrado de aplicaciones.
Extensión maliciosa
Además, el RAT instala una extensión de Google Chrome llamada Google Docs Offline que se conecta al servidor C2 y recibe órdenes, permitiendo la recopilación de cookies, historial de navegación y otros datos críticos. Esta extensión realiza vigilancia de sesiones específicas, enviando alertas cuando detecta cookies de sitios preconfigurados como Bybit.
Nuevas tácticas
Recientemente, los atacantes han comenzado a publicar paquetes de npm que imitan el servidor del WaterCrawl Model Context Protocol (MCP) para distribuir cargas útiles maliciosas, marcando un cambio significativo en las tácticas de GlassWorm. La rápida evolución de las herramientas de desarrollo asistidas por IA plantea una creciente preocupación por la seguridad.
Recomendaciones
Se aconseja a los desarrolladores que adopten medidas cautelares al instalar extensiones de Open VSX, paquetes de npm y servidores MCP. Es crucial verificar los nombres de los editores, las historiales de los paquetes y evitar confiar ciegamente en los recuentos de descargas. La empresa de ciberseguridad polaca AFINE ha lanzado una herramienta de Python de código abierto llamada glassworm-hunter, diseñada para escanear sistemas de desarrolladores en busca de cargas útiles asociadas con esta campaña.
Conclusión
Las técnicas empleadas por GlassWorm muestran un avance notable en el uso de tecnologías descentralizadas como la blockchain para ejecutar ataques cibernéticos. La vigilancia continua y la implementación de prácticas de seguridad robustas son esenciales para mitigar estos riesgos.