Malware “escava” túnel para driblar firewalls e roubar informações

Ameaças utilizaram o Cloudflare Tunnel para burlar as proteções dos computadores; hackers se aproveitaram do PyPi para distribuir pacotes com malware.

Os firewalls são ferramentas importantíssimas para impedir ataques pela internet. Mas existem meios para driblar a “barreira de fogo”: de acordo com pesquisadores da Phylum, pacotes infectados do PyPi utilizaram o Cloudflare Tunnel para quebrar as restrições de acesso remoto de computadores. A ação tinha como objetivo roubar informações sem a percepção dos usuários.

O relatório com as informações sobre a ação do malware veio a público na última quinta-feira (5).

Na ocasião, a firma de segurança digital reportou a descoberta de seis pacotes no repositório de pacotes para Python, o PyPi. Em geral, os pacotes foram baixados menos de 250 vezes, mas alcançaram um número considerável de vítimas.

É o caso do “discord-dev”, que teve 228 downloads, acompanhado do “style.py”, com 193 downloads. Outros pacotes, como o “pyrologin”, “easytimestamp”, “pythonstyles” e “discorder”, também foram utilizados para atacar computadores.

Como o malware roubava informações?

Todo esse conjunto traz um conjunto de informações codificadas em base64 no instalador para acionar um script PowerShell.

Dessa forma, ao colocar os pacotes infectados em ação, arquivos maliciosos eram baixados para o computador das vítimas para coletar informações remotamente. E aí é que vem o pulo do gato: as ameaças enganam o firewall ao utilizar o Cloudflare Tunnel de maneira indevida.

Caso não esteja a par, a ferramenta do Cloudflare é do bem e cria uma espécie de túnel virtual para transmitir as informações entre a vítima e o hacker. Assim, os cibercriminosos conseguem fazer a conexão sem precisar lidar com o firewall do computador e da rede.

Assim, os invasores podem coletar chaves de autenticação do Discord, informações do Telegram, carteira de criptomoedas, senhas de navegadores e afins. Além disso, os cibercriminosos podem utilizar o túnel para acessar remotamente o computador atacado.

Tenho Python no meu computador. Devo me preocupar?

Em primeiro lugar, o Python é seguro. Mas, como qualquer outra plataforma, é preciso se preocupar com os pacotes instalados no computador.

Logo após a descoberta, os pacotes foram removidos do PyPi. Portanto, as ameaças já foram mitigadas nos repositórios do Python.

Mas isto não significa que os arquivos foram removidos dos computadores. E aqui fica o alerta: verifique imediatamente os pacotes instalados e rode o antivírus. Também é recomendável trocar as senhas para evitar acessos indevidos no seu e-mail, redes sociais, conta de banco e afins.

Com informações: BleepingComputer e Phylum (Blog)