-
Combina el phishing con el keylogger para robar contraseรฑas como fondos de varias carteras.
-
Este malware en particular se esparce vรญa correo electrรณnico gracias principalmente a bots en EE.UU.
En casos de ataquesย con el virus informรกtico ransomware,ย que bรกsicamente bloquea y secuestra tus archivos, sรณlo tรบ decides si pagar o no. Pero no siempre tienes esa opciรณn cuando se trata de malware, pues otros hackers se irรกn directo por el botรญn sin preguntarte, tratando ademรกs de que ni siquiera te des cuenta.
Ese es el caso del nuevo malware descubierto por la compaรฑรญa de ciberseguridad Cyren, que combina el phishing con el keylogger para robar tanto tus contraseรฑas como los fondos de varias carteras de criptomonedas. Recordemos que el phishing se trata de imitar pรกginas oficiales, como las de los bancos en este caso, para que sus vรญctimas copien sus credenciales o instalen el malware; mientras que el keylogger es una especie de programa que detecta las pulsaciones de las teclas y el mouse, ademรกs de reunir la informaciรณn guardada en el computador para hacerse con todas las credenciales que encuentre.
Este malware en particular se esparce vรญa correo electrรณnico gracias principalmente a bots (programas automatizados) en Estados Unidos y Singapur, donde se difundenย largas tiradas con el mismo mensaje falso que emula notificaciones sobreย transferencias bancarias. En el reporte se indica que copian los logos de varios bancos, pero sรณlo se mencionan el Emirates NDB (que opera en Emiratos รrabes Unidos) y el DBS (en Singapur y alrededores). Esto implica, por supuesto, que las vรญctimas directas son originarias de estos paรญses, pero no excluye la posibilidad de que otros lugares se vean afectados con su propia versiรณn del banco local.
El correo incluye un archivo adjunto donde se les indica a las vรญctimas que la notificaciรณn se encuentra adjunta en formato PDF, pero en realidad este un archivo ejecutable con doble extensiรณn, nombrado con algunas variantes de SWIFT, la red interbancaria (como (Swift_Copy.Pdf.exe). Una vez que se abre, el malware descarga el archivo que se ejecuta e instala una aplicaciรณn llamada โfilename.vbsโ en la carpeta de inicio de Windows (AppData\Local\Temp\subfolder) antes de borrarse automรกticamente. Esa nueva aplicaciรณn es el keylogger, que buscarรก los registros de contraseรฑas y datos varios en las cookies, el historial y el cachรฉ de distintos software, centrรกndose especialmente en los navegadores web. De esta forma, si se tiene grabado el usuario y contraseรฑa en el sitio web del banco, puede incluso llegar a entrar a tu cuenta bancaria y vaciarla antes de que lo notes.
Pero eso no es todo, porque el Filename no sรณlo busca esos datos, sino tambiรฉnย diversas carteras de criptomonedas a las cuales extraer los fondos. Entre ellas, Cyren menciona, ademรกs de Bitcoin, la Anoncoin, BBQcoin, Bytecoin, Craftcoin, Devcoin, Digitalcoin, Fastcoin, Feathercoin, Florincoin, Freicoin, I0coin, Infinitecoin, Ixcoin, Junkcoin, Litecoin, Luckycoin, Megacoin, Mincoin, Namecoin, Phoenixcoin, Primecoin, Quarkcoin, Tagcoin, Terracoin, Worldcoin, Yacoin y Zetacoin. Sin embargo, parece que estas no son todas las opciones posibles, asรญ que otros activos tambiรฉn podrรญan estar en riesgo.
Ya el mes pasado la compaรฑรญa Cisco advertรญa que el phishing destinado a robar las credenciales a carteras online aumentarรญa junto al precio de Bitcoin, y aunque este รบltimo ha sufrido numerosas fluctuaciones durante esta primera parte del aรฑo, parece que continรบa su ascenso y por tanto tambiรฉn la advertencia de Cisco. Por ello debemos estar muy atentos, sobre todo ante los correos que recibimos: el phishing no es ni mucho menos perfecto, siempre hay algo fuera de lugar que nos indica que se trata de un virus. A la mรกs mรญnima sospecha, lo mejor es no abrir ningรบn enlace o archivo adjunto y en caso de caer vรญctima, comunicarse con las autoridades y con el banco inmediatamente.
