DoubleFinger: el malware que roba criptomonedas almacenadas en billeteras físicas
El programa ladrón GreetingGhoul detecta si hay aplicaciones de billetera digital de criptomonedas instaladas en la máquina infectada.
La compañía de ciberseguridad, Kaspersky, alertó recientemente sobre una nueva y sofisticada campaña de ataques dirigida a las billeteras físicas de criptomonedas.
De acuerdo con el informe, la amenaza que ya está presente en Europa, Estados Unidos y América Latina; opera en cinco etapas y logra robar hasta las criptomonedas almacenadas en una billetera de hardware, que en cierto modo es una billetera física o desconectada de Internet, lo que las hace más seguras que las billeteras digitales comunes.
La amenaza emplea el loader DoubleFinger que descarga archivos maliciosos en el sistema infectado, así como el programa de robo de criptomonedas GreetingGhoul, y el troyano de acceso remoto (RAT) Remcos para controlar el dispositivo comprometido.
Este video te puede interesar
La investigación muestra un alto nivel técnico del ataque y su naturaleza de múltiples etapas, que lo asemeja a un ataque de amenaza persistente avanzada (APT).
De acuerdo con Fabio Assolini, director del Equipo de Investigación y Análisis Global para América Latina en Kaspersky, la infección por etapas para evadir la detección es cada vez más común en el malware ladrón (stealers).
“En mi opinión, lo que más llama la atención de esta nueva estafa es la posibilidad de robar criptomonedas en monederos ‘físicos’, como cold wallets o de hardware, que son opciones mucho más seguras que los monederos digitales comunes”.
El especialista agregó que los delincuentes tienen un gran interés en los activos digitales, por lo que recomendó que quienes quieran invertir en esta modalidad deben estar alerta, implementar medidas de seguridad más fuertes y mantenerse informado sobre nuevas estafas y cómo evitarlas, ya que seguirán apareciendo fraudes sofisticados como estos.
Etapas de infección del malware
De acuerdo con los expertos de Kaspersky, el ciberataque comienza cuando la víctima abre un archivo PIF malicioso, incluido como adjunto en un correo electrónico, que infecta la computadora con DoubleFinger. Este loader se encarga del proceso de infección, el cual se divide en cinco etapas para evadir la detección por los productos de seguridad:
- En las dos primeras etapas se descarga código no malicioso: primero, dentro de una imagen PNG legítima y, después, en un archivo legítimo perteneciente a Java. Independientemente, estos códigos no contienen acción maliciosa.
- En la tercera etapa se utiliza la técnica de estenografía que es la lectura de códigos en imágenes legítimas, para descifrar una clave. En este paso, se agregan los códigos descargados en los pasos anteriores para continuar la infección.
- En la cuarta etapa, el malware ejecuta un proceso legítimo en la memoria de la computadora (técnica ‘sin archivos’). En este punto, el malware hace una copia del proceso y agrega el código malicioso compilado en el paso 3. De esta forma, ambos procesos quedan guardados en la memoria.
- En el último paso, se descarga otra imagen, pero este archivo es el programa ladrón GreetingGhoul. Una vez en el sistema, este archivo .PNG cambia de nombre a la extensión .exe (un archivo ejecutable). De esta manera finaliza la infección.
Clipper, el nuevo malware que aqueja a las criptomonedas
Así roba las criptomonedas de las billeteras
Lo más destacado de estas estafas es el programa ladrón GreetingGhoul que tiene dos componentes. El primero para detectar si hay aplicaciones de billetera digital de criptomonedas instaladas en la máquina infectada; y una vez que se detectan los objetivos, el segundo módulo crea pantallas que se superpondrán en la ventana de la aplicación de la billetera para robar las credenciales, las frases de recuperación y las claves de los activos digitales.
Asimismo, los especialistas en ciberseguridad encontraron muestras de DoubleFinger que descargan el Remcos RAT, un programa comercial de acceso remoto (RAT) que los ciberdelincuentes suelen utilizar en ataques dirigidos contra empresas y organizaciones.
En este caso, el grupo utiliza esta característica para eludir las aplicaciones de billetera digital que solo funcionan en computadoras previamente autorizadas, ya que los atacantes realizan acceso remoto a estos dispositivos autorizados y cometen el fraude.
Recomendaciones para mantener las billeteras de criptomonedas a salvo:
1. Comprar productos oficiales
Sólo adquiera billeteras de hardware de fuentes oficiales y confiables, como el sitio web del fabricante o revendedores autorizados. Y nunca debe completar su semilla de recuperación en la computadora. El fabricante de la billetera de hardware nunca pedirá esto.
2. Comprobar que no hay señales de manipulación
Antes de usar una nueva cartera de hardware, confirmar que no haya signos de manipulación, como arañazos, pegamento o componentes que no coincidan.
3. Verificar firmware
Es recomendable verificar que el firmware en la billetera de hardware sea legítimo y esté actualizado. Esto se puede hacer consultando el sitio web del fabricante para obtener la última versión.
4. Proteger su frase inicial
Al configurar la billetera de hardware, almacenar de forma segura su frase inicial. Una solución de seguridad confiable como para proteger los activos criptográficos almacenados en el teléfono móvil o PC.
5. Usar una contraseña segura
Si una billetera de hardware permite utilizar una contraseña, use una combinación segura y única. Evitar usar contraseñas que sean fáciles de adivinar o reutilizar contraseñas de otras cuentas.
