Hechos clave:
-
El instalador malicioso es una versión pirata de uno ya existente en el mercado.
-
La empresa que descubrió la falla recomienda utilizar licencias oficiales.
La compañía Red Canary, especialista en auditorías de seguridad informática, ha publicado una reciente investigación en la que demuestra como la utilización de activadores de Windows piratas, podrían vulnerar la seguridad de las carteras de bitcoin (BTC) y criptomonedas en computadoras con este sistema operativo.
La investigación vio la luz el pasado 2 de diciembre, de la mano con el especialista en detección e investigación de malware, Tony Lambert, quien trabaja para Red Canary. En ella se detalla como KMSpico, un software utilizado para instalar claves de licencias ilegales en Windows y Office, ahora cuenta con una versión pirata de sí mismo. Esta permite robar información de los usuarios incluyendo las semillas de recuperación de sus carteras de bitcoin y criptomonedas.
Según la investigación, el software malicioso no se diferencia del original en una búsqueda en Google. Vale recordar, de todos modos, que el «original» se trata de un software que instala versiones ilegales de licencias para Windows. Debido a que es utilizado para una actividad ilegal es que no cuenta con ningún tipo de verificación.
un activador de otro. Fuente: Google/Red canary.
Cómo funciona este malware que roba bitcoins
Para utilizar KMSpico, el «original», es necesario la desactivacion de todo programa de protección contra virus, ya que este software es marcado como potencialmente peligroso. Una vez desinstalado el antivirus no lo detecta. Lo mismo ocurre con la versión pirata. Esta podrá instalar los malware sin tan siquiera ser vistos.
Este tipo de estrategias ya se ha visto anteriormente, según lo reportó CriptoNoticias. En abril pasado, unos hackers crearon sitios web maliciosos que ofrecían descargar complementos para Windows, como lo es Direct x12, pero en lugar de ellos instalaban malware.
El funcionamiento de Cryptobot y CypherIT, nombres de los malware, es el registrar la actividad de ciertas aplicaciones. Cuando entran en funcionamiento, se instala un registro en línea que comparte con el atacante toda la actividad que la víctima realice. Si el usuario revela, en cierto momento, la semilla de recuperación, el atacante podrá tomarla y consecuentemente robar las criptomonedas.
Según la investigación, tal parece que, siempre y cuando la semilla no sea revelada, los fondos no podrán movilizarse. Sin embargo, esto no es garantía de que el atacante no encuentre la manera de hacerse con las llaves privadas.
En un listado mostrado en la investigación, carteras de escritorio como Exodus, Jaxx Liberty, Electrum y Coinomi demostraron ser susceptibles a esta vulnerabilidad. En caso de wallets de exploradores Web, por ejemplo, MetaMask, también fue vulnerada por el software malicioso. Incluso Ledger Live, que es la suite que se utilizada para las hardware wallets de la empresa Ledger, presentó la posibilidad de verse comprometida.
Qué hacer en caso de infección
En caso de usuarios con conocimientos técnicos, la investigación recomienda utilizar los comandos en CMD: findstr /V /R «^ … $, que permiten escanear si existe algún fichero instalado en el computador que este compartiendo información a un medio externo.
Para evitar estos escenarios, la firma recomienda utilizar siempre licencias originales de Windows. Red Canary cita que existen departamentos de tecnología que no cuentan con un solo PC con licencia original, lo que hace que este tipo de vulnerabilidades puedan convertirse en situaciones críticas.
