Kaspersky descubre campaña de robo de criptomonedas
La reconocida empresa de ciberseguridad Kaspersky ha revelado el descubrimiento de una sofisticada campaña dirigida a las billeteras de criptomonedas digitales, la cual se encuentra activa en Europa, Estados Unidos y América Latina. Esta nueva artimaña ha generado preocupación en el ámbito de la seguridad informática, debido a su alto nivel técnico y su naturaleza de múltiples etapas, similar a un ataque de amenaza persistente avanzada (APT).
La investigación llevada a cabo por Kaspersky ha identificado que el ataque se desarrolla en cinco etapas, permitiendo a los atacantes robar criptomonedas almacenadas en billeteras de hardware, que son consideradas más seguras que las billeteras digitales convencionales. La estafa se vale de herramientas maliciosas, como el loader DoubleFinger, el programa de robo de criptomonedas GreetingGhoul y el troyano de acceso remoto (RAT) Remcos, para tomar el control del dispositivo comprometido.
El proceso de infección comienza cuando la víctima abre un archivo PIF malicioso adjunto en un correo electrónico, lo que infecta la computadora con el loader DoubleFinger. Este loader se encarga de llevar a cabo la infección en cinco etapas, diseñadas para evitar la detección por parte de los productos de seguridad.
En las dos primeras etapas, se descarga código no malicioso, primero dentro de una imagen PNG legítima y luego en un archivo perteneciente a Java. Estos códigos en sí no realizan ninguna acción maliciosa. La tercera etapa utiliza la técnica de esteganografía, que consiste en la lectura de códigos ocultos en imágenes legítimas, para descifrar un código. En este paso, se agregan los códigos descargados en las etapas anteriores para completar la infección.
En la cuarta etapa, el malware ejecuta un proceso legítimo en la memoria de la computadora, utilizando una técnica llamada ‘sin archivos’. En este punto, el malware hace una copia del proceso y agrega el código malicioso compilado en el paso anterior, dejando ambos procesos en la memoria: uno limpio y otro malicioso. Finalmente, en la última etapa, se descarga una imagen que en realidad es el programa ladrón GreetingGhoul, que cambia su extensión a .exe una vez en el sistema, finalizando así la infección.
El programa ladrón GreetingGhoul es el elemento más destacado de esta estafa, ya que cuenta con dos componentes. El primero detecta la presencia de aplicaciones de billeteras digitales de criptomonedas en la máquina infectada. Una vez que se detectan los objetivos, el segundo módulo crea pantallas superpuestas en la ventana de la aplicación de la billetera, con el propósito de robar las credenciales, las frases de recuperación y las claves de los activos digitales.
Además de GreetingGhoul, Kaspersky también encontró muestras de DoubleFinger que descargan el troyano de acceso remoto (RAT) Remcos. Este RAT es un programa comercial utilizado habitualmente en ataques dirigidos contra empresas y organizaciones. En este caso, los ciberdelincuentes aprovechan esta característica para eludir las aplicaciones de billeteras digitales que solo funcionan en computadoras previamente autorizadas, ya que realizan acceso remoto a estos dispositivos autorizados y cometen fraude.
‘La infección por etapas para evadir la detección es cada vez más común en los stealers de malware. Lo que más destaca en esta nueva estafa es la posibilidad de robar criptomonedas de billeteras ‘físicas’, como las cold wallets o de hardware, que son opciones mucho más seguras que las billeteras digitales convencionales. Esto demuestra el gran interés de los delincuentes en los activos digitales. Aquellos que deseen invertir en esta modalidad deben estar alerta, implementar medidas de seguridad más sólidas y mantenerse informados sobre nuevas estafas y cómo evitarlas, ya que seguirán apareciendo fraudes sofisticados como este’, advierte Fabio Assolini, director del Equipo de Investigación y Análisis Global para América Latina en Kaspersky.
Ante esta nueva amenaza, Kaspersky ofrece algunas recomendaciones para proteger los criptoactivos:
- Compre productos oficiales: adquiera billeteras de hardware únicamente de fuentes oficiales y confiables, como el sitio web del fabricante o revendedores autorizados. Nunca complete su semilla de recuperación en una computadora, ya que el fabricante de la billetera de hardware nunca solicitará esta información.
- Verifique señales de manipulación: antes de utilizar una nueva billetera de hardware, verifique si presenta signos de manipulación, como arañazos, pegamento o componentes que no coinciden.
- Verifique el firmware: siempre asegúrese de que el firmware en la billetera de hardware sea legítimo y esté actualizado. Puede hacer esto consultando el sitio web del fabricante para obtener la última versión.
- Proteja su frase inicial: al configurar su billetera de hardware, asegure de manera segura su frase inicial. Una solución confiable de seguridad, como Kaspersky Premium, protegerá sus activos criptográficos almacenados en su teléfono móvil o PC.
- Use una contraseña segura: si su billetera de hardware permite el uso de una contraseña, elija una combinación segura y única. Evite utilizar contraseñas fáciles de adivinar o reutilizar contraseñas de otras cuentas.
La amenaza a la seguridad de las criptomonedas sigue en aumento, y es fundamental que los usuarios tomen medidas preventivas para proteger sus activos digitales y eviten caer en este tipo de estafas sofisticadas. Mantenerse informado y utilizar soluciones de seguridad confiables es clave en la era de las criptomonedas.
