Un grupo de investigadores descubrió una campaña de ataques contra ‘wallets’ de criptomonedas en Europa, Estados unidos y Latinoamérica, que actúa a través del ‘malware’ multifase DoubleFinger, que despliega el ladrón de criptomonedas GreetingGhoul y el troyano Remcos.
PUBLICIDAD
Actualmente, el interés de los ciberdelincuentes por las criptomonedas está creciendo a un ritmo acelerado y, en este caso, los actores maliciosos han llegado a desarrollar un ‘software’ delictivo muy similar a las amenazas persistentes avanzadas (APT, por sus siglas en inglés) para tener acceso a a estos activos.
Échale un ojo: Error de Gmail le abre la puerta a delincuentes para robar tus datos
Se trata de una campaña que utiliza un ‘software’ complejo de alto nivel técnico basada en una ejecución multifase, que recibe el nombre de DoubleFinger. Esta campaña se lanzó con el objetivo de robar credenciales de criptomonedas a los usuarios en países de Europa y Latinoamérica, así como Estados Unidos, tal y como lo detalló un grupo de investigadores Kaspersky.
En este sentido, según la investigación llevada a cabo por la compañía de ciberseguridad, se trata de un ataque que despliega, por un lado, el ladrón de criptomonedas GreetingGhoul y, por otra parte, el troyano de acceso remoto (RAT) Remcos.
El ataque se inicia cuando un usuario abre inconscientemente un archivo malicioso con extensión PIF, que puede ir adjunto en un correo electrónico, y que se trata de un documento de información de programa. Es decir, contiene la información necesaria para que el sistema operativo Windows ejecute su contenido.
Una vez abierto este ‘software’ malicioso, comienza la primera fase del ataque, que utiliza un DLL binario de Windows, esto es una biblioteca que contiene código y datos, pero modificado para ejecutar un ‘shellcode’.
Este shellcode, que es el código utilizado para la ejecución de una actividad maliciosa en el equipo de la víctima, descarga una imagen PNG que incluye o carga útil maliciosa, que se lanza en una próxima fase del proceso.
PUBLICIDAD
Llegados a este punto, DoubleFinger registra hasta cinco fases para programar GreetingGhoul, consiguiendo así activar su uso todos los días a una hora específica en el dispositivo de la víctima.
De esta forma, con GreetingGhoul en funcionamiento, proceden a robar credenciales de criptomonedas utilizando dos componentes. Por un lado MS WebView2, que se basa en la creación de superposiciones en las interfaces de la billetera de criptomonedas de la víctima. En segundo lugar, un servicio que roba la información confidencial, es decir, las claves o frases de recuperación de contraseñas. Con todo ello, los ciberdelincuentes consiguen acceso a las criptomonedas.
Por otra parte, Kaspersky detalló que los ciberdelincuentes también utilizan DoubleFinger para desplegar el troyano de acceso remoto Remcos RAT, que los actores maliciosos suelen utilizar para sus ataques contra empresas y organizaciones.
En concreto, el ‘shellcode’ de este troyano dispone de capacidades de esteganografía (habilidad de ocultar mensajes dentro de mensajes) y usa interfaces COM de Windows para llevar a cabo una ejecución silenciosa, por lo que su detección se vuelve más compleja.
Protección de las criptomonedas
Tal y como explicó el analista principal de seguridad en GReAT de Kaspersky, Sergey Lozhkin, perteneciente al grupo de investigadores que descubrió esta nueva amenaza de DoubleFinger, ante este tipo de ataques la protección de las billeteras criptográficas “es responsabilidad de los proveedores de ‘wallets’, las personas y la comunidad de criptomonedas en general”.
Advirtieron que si se está “alerta, informado y se implementan medidas de seguridad sólidas” los usuarios pueden llegar a mitigar estos “valiosos activos digitales”.
En este marco, la empresa de ciberseguridad facilitó algunas recomendaciones de cara a mantener los criptoactivos a salvo. En primer lugar, destacó la importancia de comprar billeteras solo en fuentes oficiales y, además, puntualizó que con las ‘hardware wallets’ nunca se requerirá introducir la frase semilla en el ordenador.
Te recomendamos: Facebook deja a ‘Stalkers’ al descubierto; ¿Error o actualización?
En caso de comprar una ‘hardware wallet’, los usuarios también deberán comprobar que no haya sido manipulada. De hecho, cualquier resto de pegamento, rasguño o componente extraño podrían ser un indicativo de que se manipuló previamente. Otra medida a tener en cuenta es verificar el ‘firmware’, además de implementar contraseñas de difícil descifrado.