Un equipo de científicos encontró una serie de ataques dirigidos a billeteras virtuales de criptomonedas en distintos lugares como Europa, los Estados Unidos y América Latina.
Estos ataques se ejecutan mediante un software malicioso de múltiples etapas llamado DoubleFinger, el cual activa un programa robador de criptomonedas denominado GreetingGhoul y el troyano conocido como Remcos.
En la actualidad, se observa un rápido incremento en el interés de los delincuentes informáticos por las criptomonedas.
En esta ocasión, los hackers lograron crear un programa malicioso que se asemeja de manera significativa a las amenazas persistentes avanzadas (APT, por sus siglas en inglés), con el objetivo de obtener acceso a estos activos digitales.
Este es un esquema que emplea una sofisticada aplicación informática de alta complejidad técnica, fundamentada en un proceso multifase, conocida como DoubleFinger.
El propósito de esta iniciativa es apoderarse de las credenciales de las criptomonedas pertenecientes a los usuarios en naciones de Europa, Latinoamérica y los Estados Unidos.
/https://assets.iproup.com/assets/public/images/lazyload.gif)
Ataques cripto se dieron en distintos puntos del mundo como Europa, Estados Unidos y América Latina.
La información fue minuciosamente apuntada por un equipo de investigadores de Kaspersky.
En este sentido, de acuerdo con el estudio realizado por la firma especializada en seguridad informática, nos encontramos frente a un ataque que despliega:
- El software malicioso GreetingGhoul para el robo de criptomonedas
- El troyano de acceso remoto (RAT) conocido como Remcos
Ciberataque: cómo operan
El proceso de ataque se pone en marcha cuando un individuo abre de forma inadvertida un archivo dañino con extensión PIF, el cual puede estar adjunto en un correo electrónico y se disfraza como un documento de información de programa.
En otras palabras, ese archivo contiene los datos requeridos para que el sistema operativo Windows pueda ejecutar su contenido de manera adecuada.
Una vez que este programa malicioso es ejecutado, da inicio a la etapa inicial del ataque, la cual utiliza una biblioteca binaria DLL de Windows. Esta biblioteca, que incluye código y datos, fue modificada específicamente para ejecutar un 'shellcode'.
El 'shellcode', que consiste en el conjunto de instrucciones utilizado para llevar a cabo una actividad maliciosa en el dispositivo de la víctima, descarga una imagen en formato PNG que contiene una carga útil maliciosa. Esta carga útil se activa en una fase subsiguiente del proceso.
Los atacantes utilizaban un software malicioso llamado DoubleFinger.
En esta etapa, de acuerdo a la información recopilada por Kaspersky, se reveló que DoubleFinger cuenta con hasta cinco etapas que permiten programar GreetingGhoul.
De esta manera, se logra activar su ejecución de forma diaria a una hora predeterminada en el dispositivo de la persona afectada.
De este modo, una vez que GreetingGhoul se encuentra en pleno funcionamiento, los atacantes proceden a sustraer las credenciales de las criptomonedas empleando dos elementos distintos.
Por una parte, se emplea MS WebView2, una tecnología que aprovecha la generación de superposiciones en las interfaces de las billeteras de criptomonedas de las víctimas.
En segundo término, se encuentra un servicio encargado de sustraer la información confidencial, específicamente las claves o frases de recuperación de contraseñas.
Mediante este conjunto de acciones, los atacantes informáticos logran obtener acceso a las criptomonedas de sus víctimas.
Los atacantes operaban una vez que los usuarios abrían un documento dañino con extensión PIF.
Además, Kaspersky proporcionó información detallada sobre el uso de DoubleFinger por parte de los delincuentes cibernéticos para implementar el troyano de acceso remoto Remcos RAT.
Este último es comúnmente empleado por los actores maliciosos en sus ataques dirigidos a empresas y organizaciones.
Específicamente, el 'shellcode' presente en este troyano posee habilidades de esteganografía, lo cual implica la capacidad de ocultar mensajes dentro de otros mensajes.
Además, hace uso de las interfaces COM de Windows para llevar a cabo una ejecución sigilosa, lo que complica su detección de manera considerable.
Seguridad de las criptomonedas
De acuerdo a las palabras del experto en seguridad principal de GReAT de Kaspersky, Sergey Lozhkin, señaló que si los usuarios se mantienen en alerta, bien informados y adoptan medidas de seguridad sólidas, podrán reducir los riesgos asociados a la protección de estos valiosos activos digitales.
En este contexto, Kaspersky proporcionó algunas pautas y sugerencias para preservar la seguridad de los criptoactivos.
El experto en seguridad principal de GReAT de Kaspersky, Sergey Lozhkin, señaló que si los usuarios se mantienen en alerta, bien informados y adoptan medidas de seguridad sólidas, podrán reducir los riesgos asociados a la protección de estos valiosos activos digitales.
En primer término, destacó la relevancia de adquirir billeteras exclusivamente de fuentes oficiales. Además, enfatizó que las 'hardware wallets' nunca requerirán ingresar la frase semilla en el ordenador.
En caso de optar por adquirir una 'hardware wallet', es importante verificar que no haya sido objeto de manipulación antes de utilizarla.
De hecho, cualquier evidencia de adhesivo, marcas o elementos inusuales pueden ser señales de que la 'hardware wallet' ha sido manipulada con anterioridad.
Además, es recomendable realizar una verificación exhaustiva del 'firmware' y emplear contraseñas de alta complejidad para fortalecer la seguridad.
