-
A travรฉs del software malicioso los hackers roban datos almacenados en Google Chrome y Apple Safari.
-
El malware puede configurar el sistema para ejecutar un software de minerรญa.
Los investigadores de la Unidad 42 de Palo Alto Networks identificaron un nuevo malware que utiliza los datos almacenados en los buscadores de Internet para acceder a las plataformas de intercambio de criptomonedas.
El equipo publicรณ el hallazgo en su pรกgina web este 31 de enero. Los investigadores explicaron que el malware ha sido llamado CookieMiner, pues roba las cookies del navegador de los sitios visitados por las vรญctimas para obter acceso a sus cuentas de intercambio o a las carteras y disponer de sus fondos.
El equipo seรฑala que CookieMiner podrรญa haber sido desarrollado a partir del malware OSX.DarthMiner, conocido por atacar principalmente la plataforma Mac. En ese sentido, agrega que el nuevo malware tambiรฉn puede robar los datos guardados en Chrome y Safari e incluso intenta acceder a mensajes de texto de iPhone desde las copias de seguridad.
De esta forma, los piratas informรกticos pueden disponer de la informaciรณn que el usuario haya guardado en los navegadores, entre ellas sus nombres de usuario, contraseรฑas, credenciales de tarjetas de crรฉdito, e incluso datos de acceso a plataformas de intercambio y carteras de criptoactivos.
Al robar las cookies, el malware puede burlar el proceso de autenticaciรณn en dos factores que utilizan la mayorรญa de los sitios relacionados con el manejo de criptoactivos. Con ello se inician sesiones en sitios asociados con un host previamente autenticado, razรณn por la cual no se emitirรก ninguna alerta ni se solicitarรกn mรฉtodos de autenticaciรณn adicionales. Asรญ, al poseer el ciberdelincuente una combinaciรณn de las credenciales de inicio de sesiรณn, mensajes de texto y demรกs informaciรณn, puede disponer de los fondos de sus vรญctimas.
Si los malos actores ingresan con รฉxito a los sitios web utilizando la identidad de la vรญctima, podrรญan realizar retiros de fondos. Esta puede ser una forma mรกs eficiente de generar ganancias que la minerรญa de criptomonedas. Ademรกs, los atacantes podrรญan manipular los precios de la criptomoneda con compras y/o ventas en gran volumen de activos robados, lo que resulta en ganancias adicionales.
Unidad 42 de Palo Alto Networks
A lo anterior se aรฑade la posibilidad de minar criptomonedas, pues instala un software llamado xmrig2 en el dispositivo de la vรญctima. Este es el nombre de un programa para minar monero, aunque en realidad extrae koto, una criptomoneda de origen japonรฉs orientada a la privacidad, que puede ser extraรญda a travรฉs de CPU. Para iniciar este proceso, el malware emite una serie de comandos que permiten configurar el equipo de la vรญctima, instalando el programa xmrig2.
Funcionamiento de CookieMiner
De acuerdo a lo que indica el equipo de investigadores, los ataques dirigidos al sistema operativo de Mac comienzan con un script, mediante el cual se copian las cookies del navegador Safari en una carpeta y se cargan en un servidor remoto. El ataque se dirige a las cookies asociadas con casas de cambio de criptomonedas o cualquier sitio web que tenga la palabra blockchain en su nombre de dominio. El equipo de investigadores menciona a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet como plataformas que suelen ser el blanco.
En el caso de Google Chrome, CookieMiner descarga una secuencia de comandos de Python (lenguaje de programaciรณn) llamada harmlesslittlecode.py y con ello extrae las credenciales de inicio de sesiรณn guardadas y la informaciรณn de datos locales almacenada en Chrome.
En tรฉrminos generales, el malware reporta a un servidor remoto todas las rutas de archivos relacionadas con credenciales, claves de inicio de sesiรณn, acceso a carteras de criptomonedas y tarjetas de crรฉditos, para asรญ robar la informaciรณn de los emisores. En consecuencia, los investigadores de Palo Alto recomiendan a los propietarios de criptomonedas vigilar sus configuraciones de seguridad y activos digitales para evitar riesgos y fugas.
En ese sentido, la principal recomendaciรณn es aumentar las medidas de seguridad, pues existen muchas formas en la que los hackers pueden robar las criptomonedas.
Hace una semana un investigador de seguridad informรกtica detectรณ un malware de Windows, que se muestra como una pelรญcula en The Pirate Bay y es capaz de robar criptomonedas o colocar contenido perjudicial en Google, Wikipedia y Yandex. El programa monitorea las pรกginas web con direcciones de carteras de bitcoins y ethers para luego reemplazarlas por otras que sean del dominio del atacante.
Imagen destacada por: audy_indy / stock.adobe.com