Los investigadores de la Unidad 42 de Palo Alto
Networks identificaron un nuevo malware que utiliza los datos almacenados en
los buscadores de Internet para acceder a las plataformas de intercambio de
criptomonedas.
El equipo publicó el hallazgo en su
página web este 31 de enero. Los investigadores explicaron que el malware ha
sido llamado CookieMiner, pues roba las cookies del navegador de los sitios
visitados por las víctimas para obter acceso a sus cuentas de intercambio o a
las carteras y disponer de sus fondos.
El equipo señala que CookieMiner podría
haber sido desarrollado a partir del malware OSX.DarthMiner,
conocido por atacar principalmente la plataforma Mac. En ese sentido, agrega
que el nuevo malware también puede robar los datos guardados en Chrome y Safari
e incluso intenta acceder a mensajes de texto de iPhone
desde las copias de seguridad.
De esta forma, los piratas informáticos pueden disponer de la información
que el usuario haya guardado en los navegadores, entre ellas sus nombres de
usuario, contraseñas, credenciales de tarjetas de crédito, e incluso datos de
acceso a plataformas de intercambio y carteras de criptoactivos.
Al robar las cookies, el malware puede burlar el proceso de
autenticación en dos factores que utilizan la mayoría de
los sitios relacionados con el manejo de criptoactivos. Con ello se inician
sesiones en sitios asociados con un host previamente
autenticado, razón por la cual no se emitirá ninguna alerta ni se solicitarán
métodos de autenticación adicionales. Así, al poseer el ciberdelincuente una
combinación de las credenciales de inicio de sesión, mensajes de texto y demás
información, puede disponer de los fondos de sus víctimas.
A lo anterior se añade la posibilidad de minar criptomonedas,
pues instala un software llamado xmrig2 en el
dispositivo de la víctima. Este es el nombre de un programa para minar monero,
aunque en realidad extrae koto, una criptomoneda de origen japonés orientada a
la privacidad, que puede ser extraída a través de CPU. Para iniciar este
proceso, el malware emite una serie de comandos que permiten configurar el
equipo de la víctima, instalando el programa xmrig2.
Funcionamiento de
cookieminer
De acuerdo a lo que indica el equipo de
investigadores, los ataques dirigidos al sistema operativo de Mac comienzan con
un script, mediante el cual se copian las cookies del navegador Safari en una
carpeta y se cargan en un servidor remoto. El ataque se dirige a las
cookies asociadas con casas de cambio de criptomonedas o
cualquier sitio web que tenga la palabra blockchain en su nombre de dominio. El
equipo de investigadores menciona a Binance, Coinbase, Poloniex, Bittrex,
Bitstamp, MyEtherWallet como plataformas que suelen ser el blanco.
En el caso de Google Chrome,
CookieMiner descarga una secuencia de comandos de Python (lenguaje de
programación) llamada harmlesslittlecode.py y con
ello extrae las credenciales de inicio de sesión guardadas y la información de
datos locales almacenada en Chrome.
En términos generales, el malware reporta a un servidor remoto todas
las rutas de archivosrelacionadas con credenciales, claves de
inicio de sesión, acceso a carteras de criptomonedas y tarjetas de créditos,
para así robar la información de los emisores. En consecuencia, los
investigadores de Palo Alto recomiendan a los propietarios de criptomonedas
vigilar sus configuraciones de seguridad y activos digitales para evitar
riesgos y fugas.
En ese sentido, la principal
recomendación es aumentar las medidas de seguridad, pues existen muchas formas en la
que los hackers pueden robar las criptomonedas.
Hace una semana un investigador de seguridad informática detectó un
malware de Windows, que se muestra como una película en The Pirate Bay y es
capaz de robar criptomonedas o colocar contenido perjudicial en Google,
Wikipedia y Yandex. El programa monitorea las páginas web con direcciones de
carteras de bitcoins y ethers para luego reemplazarlas por otras que sean del
dominio del atacante
No hay comentarios.:
Publicar un comentario