Hechos clave:
-
El virus monitorea el portapapeles y reemplaza los datos del monedero de criptomonedas.
-
Ataca principalmente a instituciones bancarias y empresas del ecosistema cripto en Brasil y México.
La empresa eslovaca ESET, desarrolladora de software antivirus anunció, el 3 de octubre que descubrió un nuevo malware que puede robar criptomonedas y que particularmente se ha extendido por América Latina.
Según el comunicado de ESET, el nuevo virus pertenece a la familia de malware Casbaneiro y tiene como objetivo principal rastrear los datos de los monederos de criptomonedas. Para ello, monitorea el contenido del portapapeles y en caso de descubrir la información, los atacantes reemplazan los datos con los de su propio monedero de criptoactivos.
El informe muestra uno de los monederos de los estafadores, que recibió alrededor de 1,2 bitcoins, por valor de USD 9.812 al precio actual. El número de transacciones en el monedero es de 70.
Al mismo tiempo, la compañía informa que Casbaneiro es similar a la familia de troyanos bancarios Amavaldo, previamente identificado. Por ahora, el malware ataca principalmente a instituciones bancarias y empresas de criptomonedas en Brasil y México, aunque no descarta que se extienda hacia otros países de América Latina y el mundo.
Los expertos descubrieron que para engañar a las víctimas el nuevo troyano utiliza las mismas tácticas de Amavaldo, que consisten en usar pop-ups y moldes falsos. Estos ataques generalmente se centran en persuadir a los usuarios para que tomen medidas urgentes o necesarias, como instalar una actualización de software o verificar la información de crédito o cuenta bancaria.
Una vez invadido el dispositivo de la víctima, Casbaneiro utiliza comandos de puerta trasera para hacer capturas de pantalla, restringir el acceso a varios sitios bancarios y grabar pulsaciones de teclas.
Los troyanos tienen una funcionalidad similar y utilizan métodos de ingeniería social. En particular, ambos programas maliciosos están tratando de convencer a la víctima para que ingrese información personal en forma falsa, supuestamente para la verificación urgente de datos de tarjetas bancarias o actualizaciones de software. Además, como el troyano Amavaldo, el vector inicial de infección de los dispositivos del usuario es un correo electrónico malicioso.
Comunicado de ESET.
Uno de los aspectos que destaca el informe es que Casbaneiro es capaz de ocultar el dominio y el puerto del servidor de C&C en varias ubicaciones, como registros DNS falsos, en documentos electrónicos almacenados en Google Docs o en sitios web falsos que, supuestamente, pertenecen a organizaciones legítimas. En algunos casos, los dominios del servidor de C&C han sido encriptados y ocultos en sitios legítimos, especialmente las descripciones en varios videos de YouTube, sobre todo en los de cocina y fútbol.
Los expertos de ESET recomiendan que como medida de prevención se sigan las reglas básicas de seguridad al ingresar datos personales para realizar pagos en línea, también que se use una solución confiable para proteger los dispositivos.
Cuidado con el robo de criptomonedas
Con frecuencia surgen nuevas amenazas en el mundo de las criptomonedas, que son codiciadas por los hackers de sombrero negro que se especializan en crear nuevos métodos para robar y lucrarse a costa de organizaciones o usuarios.
El pasado 26 de septiembre, la compañía Juniper Threat Labs, un portal de inteligencia de amenazas cibernéticas, reveló el descubrimiento de un virus espía que usa Telegram como canal de comunicación con su Centro de Comando y Control. Entre otras cosas, el malware es capaz de reemplazar automáticamente direcciones de monederos de criptomonedas copiadas en el portapapeles.
A mediados de septiembre, un equipo de investigadores de ciberseguridad descubrió una nueva variedad de malware de minería de criptomonedas, que no solo extrae criptomonedas de forma ilícita, sino que proporciona a los atacantes acceso universal al sistema infectado a través de una “contraseña maestra secreta”.
De hecho, un informe de McAfee Labs reveló que el criptojacking está en aumento. Según el estudio, las campañas de malware en la minería de criptomonedas subieron un 29% del cuarto trimestre de 2018 al primer trimestre de 2019.
Por otro lado, un informe de la BBC publicado en agosto destacó un virus criptojacking para minar monero que hackeó con éxito 850.000 servidores, principalmente en América Latina.
