Una amenaza cibernética «cuántica» pone en riesgo a los portadores de bitcoins que no han tomado las respectivas medidas de seguridad.
El software malicioso Quant Trojan ha sido actualizado en su diseño para buscar credenciales de carteras de bitcoin y otros criptoactivos, según determinaron investigadores de ForcePoint Security Labs.
El equipo de investigadores que rastreó el virus aseguró que esta es una evolución que se encargó de distribuir e infectar a equipos con los ransomware Locky y Pony y que se encuentra disponible para su compra en foros clandestinos de Internet en Rusia, siendo publicitado por los usuarios MrRaiX y DamRaiX. Inicialmente era un software capaz de atacar servidores ubicándolos geográficamente y obligándolos a que descargaran archivos ejecutables y demás complementos.
Pero ahora, los investigadores descubrieron que el virus puede descargarse desde un nuevo dominio registrado recientemente, pues a pesar de que todas las versiones de este virus apuntan al mismo servidor, este incluye nuevos archivos por defecto, como el bs.dll.c, que roba criptoactivos y el sql.dll.c, encargado de robar credenciales.
El primero se trata de una librería de código que escanea el directorio de aplicaciones de la víctima en búsqueda de carteras de criptomonedas, para luego extraer la información disponible y enviársela de vuelta al hacker. Las criptomonedas vulnerables a esta herramienta maliciosa son Bitcoin, Peercoin, Terracoin y Primecoin.
La segunda herramienta maliciosa, el Z*Stealer, se emplea para robar tanto la información de la aplicación como credenciales de cuentas, pudiendo extraerlas de redes Wi-Fi, el navegador Chrome, Outlook Express, el software FTP, Thunderbits y otros.
Apuntar a carteras de criptoactivos no es una innovación, y apuntar a tarjetas offline es una práctica relativamente bien establecida para robar monedas. De manera interesante, aunque el objetivo del Z*Stealer es un robo de contraseñas, esto podría generar mejores resultados para los atacantes al robar credenciales de carteras en línea y casas de cambio como blockchain.info y Coinbase. Previamente, reportamos una cantidad de familias de malware que se mueven a atacar esos servicios, como por ejemplo el troyano bancario Trickbot que expandió su lista de objetivos a Coinbase en agosto de este año, o yendo más atrás, Dridex, que incluyó a muchas aplicaciones de Bitcoin en septiembre de 2016.
ForcePoint Security
«Estos dos módulos se venden por separado: la licencia MBS puede ser comprada separadamente por 100 dólares y sus actualizaciones cuestan 15 dólares, mientras que el Z*Stealer también cuesta 100 dólares, o 55 dólares por una licencia limitada y 15 dólares por cada actualización», aseguran acerca de la disponibilidad del virus en el mercado.
Igualmente indicaron que el Z*Stealer tiene algunas configuraciones que le permiten evitar ser detectado por antivirus. También funciona para el robo general de contraseñas, entre las que se pudieran encontrar las de carteras en línea como las de casas de cambio.
Originalmente, el Quant Trojan se ocupaba de instalar barras de herramientas y complementos molestos en los navegadores de Internet más conocidos, o emitía publicidad y anuncios inconvenientes. Si estás infectado con este virus, debes además de correr un análisis con tu antivirus, desinstalar cualquier complemento sospechoso de tu navegador, al igual que desinstalar cualquier programa no autorizado de tu computadora. Luego, no estaría de más utilizar algún programa como SpyHunter para verificar que el virus fue eliminado, y con él la enorme cantidad de archivos y código que descarga y ejecuta en segundo plano.
A su vez, ForcePoint señala que las predicciones de seguridad 2018 acerca de este tipo de amenazas ya se han hecho disponibles.
Algunos de los antivirus que ya han realizado actualizaciones a su FireWall son Kaspersky, Panda, Norton, Dr. Web, BitDefender y BullGuard, según señalan en el post.