Este escurridizo malware ha estado atacando billeteras de Cripto durante un año

El insidioso malware ElectroRAT, que lleva un año en funcionamiento, está transformando el año 2020 en 2021 y apuntando a las billeteras de Cripto .

Un investigador de la empresa de ciberseguridad Intezer ha...identificados y documentadosel funcionamiento interno de ElectroRAT, que ha estado atacando y drenando los fondos de las víctimas.

Según el investigador Avigayil Mechtinger, la operación del malware incluye una variedad de herramientas detalladas que engañan a las víctimas, incluida una “campaña de marketing, aplicaciones personalizadas relacionadas con criptomonedas y una nueva herramienta de acceso remoto (RAT) escrita desde cero”.

El malware se llama ElectroRAT porque es una herramienta de acceso remoto que estaba integrada en aplicaciones creadas enElectrónUna plataforma para crear aplicaciones. De ahí ElectroRAT.

“No es sorprendente ver la publicación de malware nuevo, especialmente durante un mercado alcista en el que el valor de las Criptomonedas se dispara y hace que este tipo de ataques sean más rentables”, dijo Jameson Lopp, director de Tecnología (CTO) de la startup de custodia de Cripto . Casa.

En los últimos meses,Bitcoiny otras criptomonedas han entrado en un mercado alcista, viendo cómo sus precios se disparan en toda la industria.

Ver también:¿Eres nuevo en Bitcoin? Mantente seguro y evita estas estafas comunes.

¿Qué es ElectroRAT?

El malware ElectroRat está escrito en el lenguaje de programación de código abierto Golang, que es bueno para la funcionalidad multiplataforma y está dirigido a múltiples sistemas operativos, incluidos macOS, Linux y Windows.

Como parte de la operación de malware, los atacantes configuraron “registros de dominio, sitios web, aplicaciones troyanizadas y cuentas falsas en redes sociales”, según el informe.

En el informe, Mechtinger señala que, si bien los atacantes comúnmente intentan recopilar claves privadas utilizadas para acceder a las billeteras de las personas, es bastante RARE ver herramientas originales como ElectroRAT y las diversas aplicaciones escritas "desde cero" y dirigidas a múltiples sistemas operativos.

“Escribir el malware desde cero también permitió que la campaña pasara desapercibida durante casi un año, evadiendo todas las detecciones antivirus”, escribió Mechtinger en el informe.

Lopp se hizo eco de estos comentarios y dijo que es particularmente interesante que el malware se esté compilando y apuntando a los tres sistemas operativos principales.

“La mayoría del malware suele ser exclusivo de Windows debido a la amplia base instalada y la menor seguridad del sistema operativo”, afirmó Lopp. “En el caso de Bitcoin, los autores del malware podrían argumentar que muchos de los primeros usuarios son personas con conocimientos técnicos que utilizan Linux”.

Cómo funciona

Para atraer víctimas, los atacantes de ElectroRat crearon tres dominios y aplicaciones diferentes que operan en múltiples sistemas operativos.

Las páginas para descargar las aplicaciones fueron creadas específicamente para esta operación y diseñadas para parecer entidades legítimas.

Las aplicaciones asociadas se dirigen específicamente a los usuarios de Criptomonedas . «Jamm» y «eTrade» son aplicaciones de gestión de operaciones; «DaoPoker» es una aplicación de póker que utiliza Criptomonedas.

Utilizando redes sociales y perfiles de usuario falsos, además de pagar a un influencer de redes sociales por su publicidad, el atacante promocionó las aplicaciones, incluso promocionándolas en foros específicos de Criptomonedas y blockchain como Bitcoin Talk y SteemCoinPanLas publicaciones incitaban a los lectores a visitar sitios web de aspecto profesional y descargar las aplicaciones cuando, en realidad, también estaban descargando el malware.

Por ejemplo, la página de Twitter de DaoPoker tenía 417 seguidores, mientras que un anunciante en redes sociales con más de 25.000 seguidores en Twitter promocionaba eTrade. Al momento de escribir este artículo,Página de Twitter de DaoPokerSigue vivo.

Aunque las aplicaciones parecen legítimas a primera vista, realizan actividades maliciosas en segundo plano, atacando las billeteras de Criptomonedas de los usuarios. Además, siguen activas.

Ver también:Un ataque de phishing convincente se dirige a los usuarios de la billetera de hardware Ledger.

“Los piratas informáticos quieren obtener su Criptomonedas y están dispuestos a llegar lejos con ella: dedicar meses de trabajo a crear empresas falsas, reputaciones falsas y aplicaciones de apariencia inocente que ocultan malware para robar sus monedas”, dijo Mechtinger.

Qué hace

“ElectroRAT tiene varias capacidades”, explicó Mechtinger en un correo electrónico. “Puede tomar capturas de pantalla, registros de teclas, cargar carpetas y archivos desde el equipo de la víctima y más. Tras su ejecución, establece comandos con su servidor de comando y control y espera las órdenes”.

El informe sugiere que el malware se dirige específicamente a los usuarios de Criptomonedas para atacar sus Cripto , señalando que se observó a las víctimas comentando publicaciones relacionadas con Metamask, la popular aplicación de monederos Ethereum . Según las observaciones de los investigadores sobre el comportamiento del malware, es posible que más de 6.500 personas hayan sido comprometidas.

Cómo evitarlo

El primer paso es el mejor paso y es no descargar ninguna de estas aplicaciones, punto.

En general, al buscar nuevas aplicaciones, Lopp sugiere evitar sitios web y foros sospechosos. Instale únicamente software conocido y con buenas reseñas; busque aplicaciones con una larga reputación y una base de instalación considerable.

“No utilice billeteras que almacenen las claves privadas en su computadora portátil o de escritorio; las claves privadas deben almacenarse en dispositivos de hardware dedicados”, dijo Lopp.

Ver también:Cómo almacenar tus Bitcoin

Este punto refuerza la importancia de almacenar tus Cripto en monederos físicos fríos y anotar frases semilla en lugar de simplemente guardarlas en tu ordenador. Ambas técnicas las hacen inaccesibles al malware que rastrea tu actividad en línea.

Hay medidas secundarias que se pueden tomar si cree que su computadora ya puede haber sido comprometida.

“Para asegurarse de no estar infectado, le recomendamos que tome medidas proactivas y escanee sus dispositivos para detectar actividad maliciosa”, dijo Mechtinger.

En el informe, Mechtinger sugiere que, si cree ser víctima de esta estafa, debe finalizar los procesos en ejecución y eliminar todos los archivos relacionados con el malware. También debe asegurarse de que su equipo esté limpio y ejecute código no malicioso. Intezer ha creadoEscáner de puntos finalespara entornos Windows yIntezer Protect, una herramienta comunitaria gratuita para usuarios de Linux. Puede encontrar información más detallada sobre la detección en el informe original.

Y, por supuesto, debes mover tus fondos a una nueva billetera de Cripto y cambiar todas tus contraseñas.

Un precio más alto de Bitcoin atrae más malware

Con el precio del Bitcoin en constante aumento, Mechtinger no cree que este tipo de ataques vaya a disminuir. De hecho, es probable que aumenten.

“Hay grandes capitales en juego, algo clásico entre los hackers con motivaciones económicas”, afirmó.

Lopp dijo que veremos a los atacantes dedicar cada vez más recursos a encontrar nuevas formas de separar a las personas de sus claves privadas.

“Si bien desarrollar un ataque novedoso requiere mucho más esfuerzo, las recompensas también son potencialmente mayores porque es más probable que engañe a la gente, ya que el conocimiento de ese tipo de ataque no se ha difundido entre los usuarios”, dijo. “Es decir, es más probable que la gente se exponga al ataque sin saberlo”.