MALWARE INFOSTEALER WASP

18/11/2022

BOLETÍN NRO 2022-678

Recientemente se detectó una campaña, la cual estaba lanzando varios paquetes maliciosos que estan diseñados para robar credenciales, información personal y criptomonedas de los equipos infectados. Entre estos paquetes se encuentra un troyano denominado “WASP”.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Se evidencia que este malware ha estado presente en cientos de infecciones exitosas debido a su estructura que es polimórfica (el payload cambia con cada instalación), reiniciándose de forma persistente, tambien utiliza la técnica de esteganografía para ocultar el código dentro de los paquetes, construyendo una reputación falsa en Github.

WASP stealer es un malware que cuyo objetivo es tomar la información de las cuentas de Discord, contraseñas, tarjetas de crédito y los archivos importantes que se encuentra en el computador de la víctima y los envía al ciberdelincuente.

Este malware ha estado distribuyéndose en decenas de paquetes Pypi publicados por los atacantes infectando los equipos de los desarrolladores ocultado su código malicioso.

Cuando el desarrollador o usuarios que instalen el paquete malicioso, este ejecuta un script llamado setup.py, instalando paquetes adicionales de Python, uno de estos paquetes es judyb que proporciona utilidades de esteganografía.

El script setup.py descarga una imagen .png y se guarda en una carpeta temporal, a continuación el script utiliza una función “lsb.reveal” que extrae el código malicioso de la imagen descargada, estos datos se encuentra codificados en base64, al decodificar este realizara un solicitud HTTP de forma silenciosa que se comunicara con una URL:

"hxxp[:]//misogyny[.]wtf/inject/UsRjS959Rqm4sPG4 ", el cual brindará una respuesta que contiene un código polimórfico y muy ofuscado que contendrá otro código el cual se decodificara y generará el cambio de registro.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, lo cual lo hará persistente en los reinicios.

En la última etapa el equipo ya se encuentra infectado y persistente, procederá a robar la información del equipo.

Indicadores de Compromiso

IP

45[.]84[.]0[.]116

Dominio

misogyny[.]wtf

URL

hxxps://i.imgur[.]com/aRl53RS.png

hxxps://i.imgur[.]com/xbQ1J4D.png

hxxps://cdn[.]discordapp[.]com/axxachments/1039182045575925784

/1039513531667726336/UPDATE.exe

hxxps://cdn[.]discordapp[.]com/axxachments/1039182045575925784

/1039513532061978685/FEED.exe

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: WASP Infostealer Builds its Nest in PyPI Packages
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​