Hechos clave:
-
El malware sustituye las direcciones de monederos de criptomonedas del usuario por unas propias.
-
Intenta capturar direcciones de Bitcoin, Litecoin, Ethereum, Monero y otras 23 criptomonedas.
Una investigación del equipo de Juniper Threat Labs, un portal de inteligencia de amenazas cibernéticas, reveló el descubrimiento de un virus espía que usa Telegram como canal de comunicación con su Centro de Comando y Control. Entre otras cosas, el malware es capaz de reemplazar automáticamente direcciones de carteras de criptomonedas copiadas en el portapapeles, por las propias.
El informe, publicado por Juniper el jueves 26 de septiembre, indica que el spyware además roba información confidencial de los dispositivos, como datos del navegador, nombres de usuario, contraseñas, información de tarjeta de crédito entre otros. El virus fue bautizado como “Masad Clipper & Stealer” y estaría aprovechando las características de Telegram, una aplicación de mensajería legítima, para obtener cierto anonimato.
Los atacantes usan bots (programas automáticos) de Telegram para recopilar los datos robados y enviar comandos a Masad. Según los investigadores, el software malicioso se anuncia en foros de mercado negro como un malware estándar y se vende hasta por USD 85. Esto implica que podría ser implementado por diversos actores, que no necesariamente son los autores del código.
Los investigadores informaron que el Masad puede camuflarse en publicidad de foros, en sitios web de descarga de terceros o para compartir archivos. Además, se puede hacer pasar por una aplicación legítima o adjuntarse a herramientas de alguna aplicación de terceros. Uno de los disfraces del malware Masad Stealer es un bot de comercio de criptomonedas, denominado Tradebot_binance.exe.
Por otra parte, identificaron una versión del virus que está en capacidad de descargar software adicional. En este caso se trata de aplicaciones de minería oculta de criptomonedas.
Una vez instalado, el malware recopila toda la información confidencial del dispositivo infectado, la comprime, y la envía al Centro de Comando y Control usando un identificador o token de bot codificado de Telegram. Entre la data que Masad roba también se encuentran los datos disponibles sobre carteras de criptomonedas, información del sistema, software y procesos instalados, así como los archivos de escritorio.
Sustitución de direcciones de monedero
“Este malware incluye una función que reemplaza las direcciones de las carteras en el portapapeles, tan pronto como coincida con una configuración particular”, explica el informe. En este caso, los investigadores encontraron que el virus busca sustituir por direcciones propias, las que coincidan con el formato usado por 27 diferentes criptomonedas. Ente ellas, se encuentran Monero, Bitcoin Cash, Litecoin, Neo, Zcash, Ethereum, y por supuesto Bitcoin, la más fuerte del mercado.
Esta funcionalidad implica que una víctima de Masad podría enviar sus criptomonedas a la dirección del atacante en lugar del destinatario deseado, si, como es usual, copia la dirección del monedero destino en el portapapeles. Según el informe, uno de los monederos de bitcoin del malware detectado durante las pruebas, ya cuenta con más de USD 9.000 en BTC, aunque se desconoce a ciencia cierta si la totalidad del monto proviene de los ataques.
Las pruebas se realizaron sobre más de mil muestras del virus Masad Clipper & Stealer, que permitieron identificar 338 usuarios de Telegram. Los investigadores de Juniper Threat Labs creen que actualmente este malware representa una amenaza activa y continua.