Los ciberdelincuentes están utilizando copias pirateadas de Windows 10 para entregar malware que es capaz de robar la criptomoneda de las personas, afirma un nuevo informe de los expertos en seguridad cibernética Dr. Web.
En el informe de los investigadores, se dijo que se descubrieron archivos ISO de múltiples versiones del sistema operativo (SO) en varios sitios de torrents. Una ISO es un archivo que sirve como un disco óptico virtual. Mediante el uso de software especializado, los usuarios pueden «montar» el disco óptico y utilizarlo como si fuera un disco real, ya sea para instalar software o como copia de seguridad/archivo.
Hasta ahora, estos son los archivos .ISO que se identificaron como parte de un criptosecuestrador:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 de BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 por BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 por BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 de BoJlIIIebnik [RU, EN].Yo asi
- Windows 10 Pro 22H2 19045.2913 x64 de BoJlIIIebnik [RU, EN].Yo asi
El criptosecuestrador se planta en la partición de la interfaz de firmware extensible (EFI), una pequeña parte del disco que generalmente contiene el gestor de arranque y otros archivos que se ejecutan antes que el sistema operativo. Estos archivos se consideran esenciales para los sistemas que se ejecutan en UEFI en lugar del antiguo BIOS. Después de instalar el sistema operativo, si la víctima intenta pegar cualquier dirección de billetera de criptomonedas en cualquier aplicación o servicio, el malware reemplazará esa entrada del portapapeles con una dirección que pertenece a los atacantes, lo que resultará en una pérdida irrecuperable de activos.
Análisis: ¿Por qué importa?
Las criptomonedas son una industria en crecimiento que, en el momento de la publicación, está valorada en más de mil millones de dólares. Podría decirse, sin embargo, que la mayoría de sus usuarios son personas expertas en tecnología que a menudo usan software pirateado. También se podría argumentar que las personas con conocimientos tecnológicos tendrían un software antivirus instalado y sabrían cómo identificar una amenaza potencial.
Sin embargo, las herramientas antivirus estándar normalmente no analizan la partición EFI. Además, al hacer que el malware se ejecute antes que el sistema operativo, las posibilidades de que cualquier sistema de seguridad de punto final lo detecte son extremadamente escasas. Además, los investigadores descubrieron que el malware escaneará el sistema operativo en busca de herramientas de análisis y, si descubre alguna, no se ejecutará ni se delatará.
La forma más realista en que una víctima puede darse cuenta de que algo anda mal es si verifica dos veces la dirección de la billetera que acaba de pegar en una billetera o servicio de cifrado, antes de presionar el botón de enviar. Además, los investigadores de Dr.Web dicen que el malware usa EFI solo como un espacio de almacenamiento para los componentes del secuestrador.
Dada la naturaleza seudónima de la cadena de bloques, los investigadores pudieron determinar qué tan exitoso es el ataque, y resulta que funciona relativamente bien. Cuando Dr. Web publicó su investigación, los atacantes habían ganado aproximadamente $19,000 en varias criptomonedas. Sin embargo, la suma exacta podría ser aún mayor, advierten los investigadores, ya que no pueden decir de manera concluyente si lograron identificar todas las billeteras que pertenecen a los atacantes.
Al enviar dinero a través de un banco u otro intermediario, la transacción puede detenerse a mitad del camino si el remitente descubre que ha sido estafado. Sin embargo, con blockchain eso es imposible, y una vez que se presiona el botón de enviar, no hay vuelta atrás. Los ciberdelincuentes son muy conscientes de este hecho y han estado atacando activamente a los usuarios de criptomonedas con ataques de ingeniería social, phishing y malware.
¿Qué han dicho otros al respecto?
Los secuestradores de portapapeles son una ocurrencia común y existen desde hace muchos años. De vuelta en 2021, El record informó sobre un secuestrador de portapapeles que le valió a sus creadores más de medio millón de dólares. Fue descubierto por investigadores de ciberseguridad de Avast y fue descrito como «ridículamente simple». En ese entonces, el actor de amenazas recurrió a Telegram para compartir «herramientas de piratería», que no eran más que malware. El secuestrador vino preconfigurado con más de 100 direcciones de criptomonedas diferentes, lo que resultó en que el actor de amenazas, con el alias «Hack Boss», recibiera bitcoin, ether, Dogecoin y otros. Dado que la gente también enviaba Monero, los investigadores creían que la suma final era incluso mayor que los 560.000 dólares informados.
En foros como Reddit, los usuarios han estado aconsejando a sus compañeros que siempre tengan cuidado al copiar y pegar información confidencial. Dado que las direcciones de las billeteras de criptomonedas son una cadena de caracteres aleatorios, muchos usuarios solo verifican el primer y el último par de caracteres. Algunos usuarios de Reddit también advirtieron que hay secuestradores de portapapeles con funciones avanzadas que pueden asegurarse de que solo la parte central de la dirección de la billetera difiera, engañando incluso a aquellos que inspeccionan la dirección pegada antes de presionar enviar.
En Twitter, MetaMask compartió algunos consejos sobre cómo mantenerse a salvo de los secuestradores de portapapeles. MetaMask es una de las billeteras de criptomonedas más populares del mundo, cuyos seguidores en Twitter cuentan con más de 76,000 personas. En un short Hilo de TwitterMetaMask explica que los usuarios siempre deben mantener sus billeteras actualizadas, solo instalar un software antivirus confiable, tener en cuenta lo que copian y pegan, y limpian regularmente su portapapeles.
Ve más profundo
Si desea obtener más información, comience por consultar nuestras guías de compra para el mejores billeteras bitcoinasí como mejores plataformas mineras. Además, asegúrese de consultar nuestra lista de mejores programas antivirusy mejor soluciones de seguridad de punto final ahora mismo.