Un malware de robo de criptografía particularmente desagradable ha recibido un lavado de cara para hacerlo aún más peligroso, afirman los investigadores.
Los expertos en ciberseguridad de Avast advirtieron que el malware ViperSoftX Windows, un RAT basado en JavaScript que existe desde hace más de dos años, se actualizó para instalar también un navegador Chrome. (se abre en una pestaña nueva) Añadir.
Por lo general, ViperSoftX monitorearía el contenido del portapapeles del punto final infectado, y si detecta que la víctima copia y pega una dirección de billetera de criptomonedas, reemplazaría la del portapapeles con la que pertenece a los atacantes. De esa manera, cuando la víctima envía sus fondos, estos terminan en manos de los atacantes.
Complemento falso de Google Sheets
Las direcciones de criptomonedas son una larga lista de caracteres aparentemente aleatorios, lo que hace que este tipo de secuestro sea relativamente exitoso. El complemento hace básicamente lo mismo, pero algo más eficiente. Se llama Hojas de cálculo de Google 2.1, para eliminar cualquier sospecha de sus buenas intenciones para con las víctimas.
«VenomSoftX principalmente hace esto (roba criptografía) al vincular solicitudes de API en algunas visitas de víctimas de intercambios criptográficos muy populares o con las que tienen una cuenta», dijeron los investigadores. «Cuando se llama a una determinada API, por ejemplo, para enviar dinero, VenomSoftX manipula la solicitud antes de que se envíe para redirigir el dinero al atacante».
Avast dice que el troyano se dirige a múltiples criptojugadores importantes, como Coinbase, Binance, Kucoin, Gate.io y Blockchain.com. Sin embargo, no se detiene allí: también vigila el portapapeles para ver si se pegan otras billeteras.
Hay dos detalles aterradores sobre VenomSoftX, uno que la extensión puede modificar HTML en los sitios web, para mostrar la dirección de la billetera de criptomonedas de la víctima. En otras palabras, incluso una inspección visual de la dirección, después de pegarla, no ayudará. Además, el malware interceptará todas las solicitudes de API a los servicios y establecerá el monto de la transacción al máximo. De esa manera, incluso si la víctima realiza primero una transacción de prueba (una pequeña transacción de, digamos, $10), aún perderá todos sus fondos.
Y finalmente, para Blockchain, intentará robar la contraseña, si la víctima la ingresa en el sitio.
Hasta ahora, dicen los investigadores, los atacantes lograron robar varios criptos por valor de unos $ 130,000. No sabemos cuántas personas se infectaron, pero sí sabemos que la mayoría de las víctimas se encuentran en EE. UU., Italia, Brasil e India.
No existe Google Sheets 2.1, por lo que en caso de que vea este complemento instalado, asegúrese de eliminarlo de inmediato.
Vía: BleepingComputer (se abre en una pestaña nueva)