Una amenaza cibernรฉtica ยซcuรกnticaยป pone en riesgo a los portadores de bitcoins que no han tomado las respectivas medidas de seguridad.
El software malicioso Quant Trojan ha sido actualizado en su diseรฑo para buscar credenciales de carteras de bitcoin y otros criptoactivos, segรบn determinaron investigadores de ForcePoint Security Labs.
El equipo de investigadores que rastreรณ el virus asegurรณ que esta es una evoluciรณn que se encargรณ de distribuir e infectar a equipos con los ransomware Locky y Pony y que se encuentra disponible para su compra en foros clandestinos de Internet en Rusia, siendo publicitado por los usuarios MrRaiX y DamRaiX. Inicialmente era un software capaz de atacar servidores ubicรกndolos geogrรกficamente y obligรกndolos a que descargaran archivos ejecutables y demรกs complementos.
Pero ahora, los investigadores descubrieron que el virus puede descargarse desde un nuevo dominio registrado recientemente, pues a pesar de que todas las versiones de este virus apuntan al mismo servidor, este incluye nuevos archivos por defecto, como el bs.dll.c, que roba criptoactivos y el sql.dll.c, encargado de robar credenciales.
El primero se trata de una librerรญa de cรณdigo que escanea el directorio de aplicaciones de la vรญctima en bรบsqueda de carteras de criptomonedas, para luego extraer la informaciรณn disponible y enviรกrsela de vuelta al hacker. Las criptomonedas vulnerables a esta herramienta maliciosa son Bitcoin, Peercoin, Terracoin y Primecoin.
La segunda herramienta maliciosa, el Z*Stealer, se emplea para robar tanto la informaciรณn de la aplicaciรณn como credenciales de cuentas, pudiendo extraerlas de redes Wi-Fi, el navegador Chrome, Outlook Express, el software FTP, Thunderbits y otros.
Apuntar a carteras de criptoactivos no es una innovaciรณn, y apuntar a tarjetas offline es una prรกctica relativamente bien establecida para robar monedas. De manera interesante, aunque el objetivo del Z*Stealer es un robo de contraseรฑas, esto podrรญa generar mejores resultados para los atacantes al robar credenciales de carteras en lรญnea y casas de cambio como blockchain.info y Coinbase. Previamente, reportamos una cantidad de familias de malware que se mueven a atacar esos servicios, como por ejemplo el troyano bancario Trickbot que expandiรณ su lista de objetivos a Coinbase en agosto de este aรฑo, o yendo mรกs atrรกs, Dridex, que incluyรณ a muchas aplicaciones de Bitcoin en septiembre de 2016.
ForcePoint Security
ยซEstos dos mรณdulos se venden por separado: la licencia MBS puede ser comprada separadamente por 100 dรณlares y sus actualizaciones cuestan 15 dรณlares, mientras que el Z*Stealer tambiรฉn cuesta 100 dรณlares, o 55 dรณlares por una licencia limitada y 15 dรณlares por cada actualizaciรณnยป, aseguran acerca de la disponibilidad del virus en el mercado.
Igualmente indicaron que el Z*Stealer tiene algunas configuraciones que le permiten evitar ser detectado por antivirus.ย Tambiรฉn funciona para el robo general de contraseรฑas, entre las que se pudieran encontrar las de carteras en lรญnea como las de casas de cambio.
Originalmente, el Quant Trojan se ocupaba de instalar barras de herramientas y complementos molestos en los navegadores de Internet mรกs conocidos, o emitรญa publicidad y anuncios inconvenientes. Si estรกs infectado con este virus, debes ademรกs de correr un anรกlisis con tu antivirus, desinstalar cualquier complemento sospechoso de tu navegador, al igual que desinstalar cualquier programa no autorizado de tu computadora. Luego, no estarรญa de mรกs utilizar algรบn programa como SpyHunter para verificar que el virus fue eliminado, y con รฉl la enorme cantidad de archivos y cรณdigo que descarga y ejecuta en segundo plano.
A su vez, ForcePoint seรฑala que las predicciones de seguridad 2018 acerca de este tipo de amenazas ya se han hecho disponibles.
Algunos de los antivirus que ya han realizado actualizaciones a su FireWall son Kaspersky, Panda, Norton, Dr. Web, BitDefender y BullGuard, segรบn seรฑalan en el post.