paint-brush
5 nuevas técnicas de malware para robar tus criptomonedas (2024)por@obyte
441 lecturas
441 lecturas

5 nuevas técnicas de malware para robar tus criptomonedas (2024)

por Obyte7m2024/08/22
Read on Terminal Reader

Demasiado Largo; Para Leer

Kaspersky Lab descubrió una nueva amenaza dirigida a los monederos de criptomonedas. El malware estaba oculto en software pirateado disponible en sitios web de torrents y piratería. Reemplaza aplicaciones de monedero legítimas como Exodus y Bitcoin-Qt con versiones infectadas. Los cibercriminales detrás de este esquema usan aplicaciones falsas pero de apariencia legítima.
featured image - 5 nuevas técnicas de malware para robar tus criptomonedas (2024)
Obyte HackerNoon profile picture
0-item


Los cibercriminales no dejan de innovar y se sienten especialmente atraídos por las criptomonedas. Quizá estés explorando Internet sin saber cuántas minas terrestres estás a punto de pisar. Nunca está de más tener cuidado y estar al día de las últimas tendencias en seguridad cuando se trata de proteger tus fondos en criptomonedas.


Para darle una idea de cuán grande es este negocio maligno para las partes malintencionadas, según Análisis en cadena En 2023, las direcciones de criptomonedas ilícitas recibieron alrededor de 24 200 millones de dólares. ¡No seas parte de la próxima cifra! Veamos algunas nuevas técnicas de malware que debes conocer este año y cómo protegerte contra ellas.

Una puerta trasera en MacOS


No es precisamente una buena idea descargar aplicaciones de sitios no oficiales, y este es un gran ejemplo de por qué. La empresa de ciberseguridad Kaspersky Lab Descubierto A principios de este año, una nueva amenaza dirigida a las billeteras de criptomonedas de los usuarios de macOS, que estaba oculta en software pirateado disponible en sitios web de torrents y piratería.


Cuando los usuarios instalan estos programas aparentemente gratuitos, sin saberlo, están permitiendo que un malware entre en sus equipos. El paso inicial implica una aplicación llamada "Activator", que solicita a los usuarios que proporcionen acceso administrativo. Esto le otorga al malware los permisos necesarios para instalarse y deshabilitar el funcionamiento normal del software pirateado, engañando a los usuarios para que piensen que necesitan este Activator para que el software funcione.


Aplicación activadora en el malware de puerta trasera. Imagen de Kaspersky

Una vez instalado, el malware se pone en contacto con un servidor remoto para descargar más instrucciones maliciosas. Estas instrucciones ayudan al malware a crear una puerta trasera, lo que permite a los piratas informáticos tener acceso continuo al equipo infectado. El objetivo principal de este malware es robar criptomonedas. Reemplaza aplicaciones de billetera legítimas como Exodus y Bitcoin-Qt con versiones infectadas.


Estas aplicaciones modificadas capturan información confidencial, como frases de recuperación y contraseñas de billetera, y las envían a los piratas informáticos, drenando así sus fondos en criptomonedas. ¿Ha aparecido un instalador de "Activator" sospechoso justo después de que obtuvo una aplicación "gratuita"? ¡No le dé acceso y desinstálela de inmediato!


Vortax, Web3 Games y “Markopolo”


La campaña Vortax es una operación de malware engañosa dirigida a los usuarios de criptomonedas, descubierta por los investigadores de Recorded Future. Los cibercriminales detrás Este esquema Utilizan aplicaciones falsas pero de apariencia legítima para infectar dispositivos Windows y macOS con malware que roba información. La aplicación, que se hace pasar por un software de reuniones virtuales llamado Vortax, parece creíble, ya que cuenta con un sitio web indexado por los motores de búsqueda, un blog con artículos generados por IA y cuentas de redes sociales en plataformas como X, Telegram y Discord. El actor de amenazas interactúa con las víctimas potenciales en discusiones sobre criptomonedas y las dirige a descargar la aplicación Vortax con el pretexto de unirse a una reunión virtual.


Una vez que los usuarios siguen las instrucciones proporcionadas, son redirigidos a enlaces de descarga que instalan el software Vortax. Sin embargo, en lugar de una aplicación funcional, los archivos de instalación entregan malware como Rhadamanthys, Stealc o Atomic Stealer (AMOS). La aplicación Vortax parece no funcionar debido a errores deliberados, mientras que en segundo plano, el malware comienza a robar información confidencial, incluidas contraseñas y frases semilla. Una investigación más profunda reveló que la campaña Vortax está vinculada a múltiples dominios que alojan aplicaciones maliciosas similares y juegos web3 falsos, lo que sugiere un esfuerzo bien organizado por parte del actor de amenazas, identificado como Markopolo.


Las tácticas de Markopolo incluyen aprovechar las redes sociales y las plataformas de mensajería para distribuir su malware, También haciéndose pasar por como marcas y juegos como VDeck, Mindspeak, ArgonGame, DustFighter y Astration. Esta estrategia no solo amplía su alcance, sino que también aumenta la probabilidad de que los usuarios sean engañados para que descarguen el software malicioso. La sofisticación y adaptabilidad de la campaña implican que los ataques futuros pueden volverse aún más frecuentes, lo que resalta la necesidad de que los usuarios tengan cuidado al descargar software de terceros, especialmente si parecen sospechosamente insistentes al respecto.


Pytoileur, una trampa para los desarrolladores de Python


Los investigadores de Sonatype han descubierto una nueva amenaza dirigida a los usuarios de criptomonedas a través de un paquete malicioso de Python llamado "pytoileur". Disfrazado como una herramienta legítima de gestión de API, pytoileur engaña a los usuarios para que lo descarguen del índice de paquetes de Python (PyPI). Una vez instalado, el paquete recupera e instala en secreto un software dañino diseñado para robar criptomonedas accediendo a información confidencial almacenada en el dispositivo de la víctima.


El paquete malicioso Se escondía de forma inteligente dentro de un código aparentemente inocente. Descargaba un archivo ejecutable peligroso que, una vez ejecutado, realizaba diversas actividades maliciosas, entre ellas, modificar la configuración del sistema, mantener una presencia en el dispositivo para evitar ser detectado y, lo más importante, intentar robar criptomonedas de billeteras y cuentas asociadas con servicios populares como Binance , Coinbase y Crypto.com . Al acceder a los datos del navegador y otros detalles financieros, el malware podía extraer activos digitales sin el conocimiento de la víctima.


Sonatype encuentra paquete malicioso Pytoileur

La distribución de pytoileur implicó tácticas de ingeniería social, incluida la explotación de plataformas comunitarias como Stack Overflow para atraer a los desarrolladores a descargar el paquete con el pretexto de resolver problemas técnicos. Este incidente es parte de una campaña más amplia de "paquete genial", lo que indica un esfuerzo continuo por parte de los cibercriminales para atacar a los usuarios de criptomonedas a través de métodos sofisticados y en evolución. Mend.io, otra empresa de seguridad, ha identificado más de 100 paquetes maliciosos en las bibliotecas PyPI.


Los desarrolladores pueden evitar los paquetes maliciosos descargándolos de fuentes confiables, verificando la integridad de los paquetes y revisando el código antes de usarlos. También es útil mantenerse actualizado con los avisos de seguridad y usar herramientas de seguridad automatizadas.


P2PInfect, una amenaza creciente


P2Pinfect, identificado por Cado Security, es un malware sofisticado que utiliza una botnet peer to peer para obtener control. En otras palabras, el malware detecta si un equipo pertenece a una red e infecta todos los dispositivos conectados para comunicarse y controlarse entre sí directamente sin depender de un servidor central. Inicialmente parecía inactivo, pero su forma actualizada ahora incluye ransomware y capacidades de minería de criptomonedas.

En caso de infección Se propaga principalmente a través de vulnerabilidades en Redis, un sistema de base de datos popular, lo que permite que el malware ejecute comandos arbitrarios y se propague a través de los sistemas conectados. La característica de botnet garantiza una rápida distribución de actualizaciones, manteniendo una extensa red de dispositivos comprometidos, en toda una empresa, por ejemplo.


Las víctimas suelen encontrarse con P2Pinfect a través de configuraciones inseguras de Redis o mediante intentos limitados de SSH (Secure Shell) para administrar sistemas remotos con credenciales comunes. Una vez activo en el sistema de una víctima, P2Pinfect instala un minero de criptomonedas que apunta a la criptomoneda Monero. Este minero se activa después de un breve retraso y genera criptomonedas utilizando los recursos del sistema, canalizando de forma encubierta las ganancias a la billetera del atacante y ralentizando las capacidades del dispositivo.


Nota sobre ransomware en P2PInfect. Imagen de Cado Security

El componente ransomware cifra (bloquea) los archivos y exige un pago en criptomonedas para recuperarlos, aunque su eficacia es limitada debido a los permisos típicos de los servidores Redis infectados. La billetera Monero del atacante ha acumulado aproximadamente 71 XMR, equivalentes a unos 12.400 dólares. Esto ilustra el éxito financiero de la campaña a pesar del impacto potencialmente limitado del ransomware debido a los datos de bajo valor que suelen almacenar los servidores Redis. Para evitar este malware, recuerde proteger las configuraciones de Redis y supervisar periódicamente la actividad inusual.


AggrTrade falso y otras extensiones maliciosas


La extensión falsa AggrTrade para Chrome, descrita por la empresa de seguridad SlowMist, era una herramienta maliciosa que engañaba a los usuarios para que perdieran cantidades significativas de criptomonedas. La extensión se hacía pasar por una herramienta de trading legítima (AggrTrade), pero estaba diseñada únicamente para robar fondos. Los usuarios la instalaban sin saberlo, y luego explotaban su acceso a las plataformas de trading y de intercambio de criptomonedas secuestrando información confidencial (contraseñas y credenciales).


La extensión Funcionaba capturando cookies y otros datos de sesión, lo que le permitía imitar los inicios de sesión de los usuarios y realizar transacciones no autorizadas. Esto condujo al robo de alrededor de un millón de dólares en total. Se distribuía mediante tácticas engañosas a través de las redes sociales y promociones de marketing que engañaban a las víctimas para que lo descargaran e instalaran, a menudo de fuentes no oficiales o sospechosas.

Extensión falsa de AggrTrade, antes de que la borraran. Imagen de SlowMist

Esta amenaza específica ya fue eliminada, pero es solo un pequeño ejemplo entre muchos intentos. Actualmente, hay varios otros extensiones maliciosas de Chrome Se hacen pasar por servicios comerciales genuinos destinados a robar criptomonedas. Para protegerse, instale únicamente extensiones de fuentes confiables, verifique los permisos con regularidad y controle sus cuentas para detectar actividades inusuales.


Además, recuerda que todas las extensiones de los navegadores pueden rastrear todo tu historial de navegación, ver lo que haces en cada sitio y robar cookies y otros datos privados. El uso de monederos físicos o de papel para cantidades importantes y mantener actualizado el software de seguridad también puede mejorar tu protección contra este tipo de amenazas.


Medidas de protección


Para protegerse contra malware que roba criptomonedas como estos, puede aplicar algunas medidas básicas:


  • Instalar desde fuentes confiables: use únicamente extensiones y software de fuentes confiables y sitios web oficiales. Verifique las reseñas y los permisos antes de la instalación.
  • Instala la menor cantidad de software posible: antes de instalar otra aplicación o extensión de navegador en tu computadora de escritorio, piénsalo dos veces si realmente la necesitas. ¿Quizás puedas lograr tus objetivos con el software existente? (Sin embargo, es más seguro en plataformas móviles donde cada aplicación está aislada).
  • Controles de seguridad periódicos: revise y elimine con frecuencia las extensiones o el software que no utilice. Compruebe periódicamente si hay actividad inusual en sus cuentas de criptomonedas (en línea y fuera de línea) y en el sistema.
  • Utilice una autenticación fuerte: habilite la autenticación de dos factores (2FA) en sus cuentas para agregar una capa adicional de seguridad. Carteras Obyte , puedes hacerlo creando una cuenta multidispositivo desde el menú principal o estableciendo una contraseña de gasto en la configuración.



  • Utilice herramientas antimalware: utilice herramientas antivirus y antimalware actualizadas para detectar y bloquear amenazas en línea y fuera de línea.
  • Proteja sus criptomonedas: almacene activos criptográficos importantes en billeteras físicas o de papel para reducir la exposición a amenazas en línea. A través de la billetera Obyte, puede crear fácilmente su propia billetera de papel generando una moneda de texto (doce palabras al azar), escribirlas y luego eliminar o bloquear el software hasta que necesites gastar los fondos.


¡Dentro de Obyte y más allá, asegúrese de utilizar billeteras seguras y verificadas y siga estas prácticas recomendadas para proteger sus activos!



Imagen vectorial destacada de Pico libre