Han encontrado un malware que tiene como objetivo las billeteras de criptomonedas en Latinoamérica. Este ataque es conocido como DoubleFinger y ha demostrado ser capaz de robar criptodivisas, incluso de billeteras físicas o de hardware, que normalmente se consideran más seguras que las billeteras digitales comunes.
Kaspersky, empresa de ciberseguridad, fue la encargada de encontrar este nuevo ataque que está activo en Europa, Estados Unidos y América Latina. Sin embargo, gran parte de su enfoque está en nuestra región.
“Otra cosa que deja en claro esta estafa es el gran interés de los delincuentes en los activos digitales, por lo que quien quiera invertir en esta modalidad debe estar alerta, implementar medidas de seguridad más fuertes y mantenerse informado sobre nuevas estafas y cómo evitarlas, ya que fraudes sofisticados como estos seguirán apareciendo”, aseguró Fabio Assolini, director del equipo de investigación y análisis global para América Latina en Kaspersky.
Cómo funciona este ataque
El malware opera en cinco etapas, lo que lo hace similar a un ataque de amenaza persistente avanzada (APT), que consiste en una modalidad que implementa técnicas de hackeo continuas, clandestinas y avanzadas para acceder a un sistema y permanecer allí durante un tiempo prolongado.
El proceso de infección comienza cuando las víctimas abren un archivo malicioso en un correo electrónico. En ese momento, DoubleFinger infecta la computadora y comienza su proceso de infiltración.
El aspecto diferencial de este malware, es su capacidad para robar criptomonedas almacenadas en billeteras de hardware, consideradas generalmente como una opción más segura debido a su naturaleza física y su desconexión de internet.
Para lograrlo, DoubleFinger descarga archivos maliciosos en el sistema infectado, dividido en cinco etapas, y así evita la detección de los protocolos de seguridad.
En las dos primeras etapas, se descargan códigos no maliciosos dentro de una imagen PNG legítima y en un archivo Java auténtico. Estos códigos en sí mismos no realizan ninguna acción maliciosa, lo que dificulta su detección. En la tercera etapa, se utiliza la técnica de descifrar un código oculto en imágenes legítimas, completando así la infección.
En la cuarta fase, el malware ejecuta un proceso legítimo en la memoria de la computadora, utilizando la técnica conocida como “sin archivos”. En este punto, el virus ejecuta una copia del proceso y agrega el código malicioso compilado en la etapa anterior. Ambos procesos se almacenan en la memoria: uno limpio y el otro malicioso.
Finalmente, en el último paso, se descarga una imagen que, en realidad, es el programa ladrón GreetingGhoul, un componente destacado de esta estafa.
Ya una vez infectado el sistema, el programa ladrón empieza a detectar si hay aplicaciones de billetera digital de criptomonedas y al encontrarlas crea pantalla superpuesta para robar las credenciales de acceso.
Además de este tipo de ataque, Kaspersky también encontró virus de acceso remoto, que le permite a los ciberdelincuentes hacer ataques dirigidos a empresas. En este caso, lo que hacían era evadir las aplicaciones de billetera digital que solo funcionan en computadoras previamente autorizadas, lo que les permite cometer fraude.
Entre las recomendaciones de la empresa de ciberseguridad para evitar este tipo de estafas, está la compra de productos oficiales que cuenten con los estándares de seguridad, usar claves seguras, actualizar las aplicaciones de criptomonedas y estar atentos de algún tipo de manipulación o actividad fuera de lo común.