Malware se presenta como archivo de película para robar criptoactivos

Un investigador de seguridad informática detectó un archivo malicioso de Windows, que se muestra como una película en la plataforma The Pirate Bay, y que es capaz de robar criptomonedas o colocar contenido perjudicial en Google, Wikipedia y Yandex. Se trata de un archivo de acceso directo .LNK que ejecuta un comando de PowerShell y no contenido multimedia.

El programa monitorea las páginas web que contengan direcciones de carteras de bitcoins y ethers, para luego reemplazarlas por otras que sean del dominio del atacante, según una investigación publicada por Bleeping Computer en la que se destaca lo siguiente:

“Puede desencadenar una serie de actividades maliciosas en su computadora, como inyectar contenido del atacante en sitios web de alto perfil como Wikipedia, Google y Yandex Search o robar criptomonedas”.

El investigador, identificado como 0xffff0800, descargó los archivos de la supuesta película, pero en realidad se topó con un acceso directo .LNK que ejecutaba un comando de PowerShell. El reporte señala que “el icono del archivo atrajo su atención, por lo que lo examinó a través VirusTotal, un servicio de análisis de antivirus”.

El resultado fue una “pieza de malware” empleada supuestamente por el grupo CozyBear que tendría como objetivo atacar plataformas basadas en el sistema operativo Windows. Sin embargo, el estudio muestra que en este caso se trató de un falso positivo.

Acción maliciosa

Al detectar la irregularidad, se pensó que solo se trataba de un malware que colocaba anuncios en Google y otras páginas. No obstante, también interfiere con los resultados de búsquedas y en las entradas de Wikipedia. El programa también monitorea la web para reemplazar las direcciones de las carteras de bitcoins y ethers que se muestren. De esta forma, el atacante las sustituye por direcciones que él controle.

“Para hacer esto, el malware modifica las claves de registro para deshabilitar la protección de Windows Defender, si el antivirus de Microsoft está habilitado. También se instala a la fuerza en Firefox una extensión llamada ‘Protección Firefox’ y secuestra la extensión Chrome llamada ‘Chrome Media Router’, con el ID pkedcjkdefgpdelpbcmbmeomcjbeemfm”, se puede leer en la investigación.

Y se añade: “Inmediatamente después de que se inicie el navegador, la extensión de malware se conecta a la base de datos Firebase y extrae varias configuraciones junto con el código JavaScript para inyectar en varias páginas web”.

Otra acción maliciosa del programa es que puede insertar en Wikipedia una notificación en la que se afirma, falsamente, que la plataforma acepta donaciones en criptomonedas como se muestra en la siguiente captura.

En el mensaje se añaden dos direcciones en bitcoins y ethers para que los usuarios puedan realizar las supuestas donaciones. Al momento de publicar el reporte la cartera de BTC ya acumulaba US$ 70, mientras que la de ethers mostraba un saldo de US$ 600. Una tercera dirección de bitcoin se halló en los scripts descargados por el malware con un saldo de US$ 13.

En este punto es importante recordar que los malwares y los intentos de hackeos son comunes alrededor de bitcoin y las criptomonedas en general. Al tratarse de dinero, habrá personas que estén dispuestos a sustraerlos. Es por ello que las recomendaciones para minimizar los riesgos incluyen instalar un antivirus y mantenerlo actualizado, así como el sistema operativo.

Otra recomendación es no abrir los archivos adjuntos que provengan de correos electrónicos no confiables y evitar descargar programas desde páginas que no sean oficiales de las casas de software. También es importante mantener respaldada la información del sistema y bloquear cualquier puerto que no se esté utilizando. Existen muchas formas en la que los hackers pueden robar las criptomonedas, por lo que tomar medidas adicionales de seguridad será una buena decisión.

Imagen destacada por YakobchukOlena / stock.adobe.com