Así funciona el ‘malware’ multifase DoubleFinger, que roba criptomonedas en Europa, Estados Unidos y América Latina. ¿Cómo operan los ciberdelincuentes?
A equipo de científicos encontró una serie de ataques dirigidos a billeteras virtuales de criptomonedas en diferentes lugares como Europa, Estados Unidos y Latinoamérica.
Estos ataques son ejecutados por un malware de varias etapas llamado DoubleFingerque activa un programa de robo de criptomonedas llamado GreetingGhoul y el caballo de Troya conocido como Remcos.
Actualmente, hay un rápido aumento en el interés de los ciberdelincuentes en las criptomonedas.
En esta ocasión, los piratas informáticos lograron crear un malware que se parece significativamente a las amenazas persistentes avanzadas (APTO) para poder acceder a estos activos digitales.
Se trata de un esquema que utiliza una sofisticada aplicación informática de alta complejidad técnica, basada en un proceso multifase, conocido como DoubleFinger.
El objetivo de esta iniciativa es incautar credenciales de criptomonedas pertenecientes a usuarios en naciones de Europa, América Latina y Estados Unidos.
Los criptoataques ocurrieron en diferentes partes del mundo como Europa, Estados Unidos y América Latina.
La información fue registrada meticulosamente por un equipo de investigadores de kaspersky.
En este sentido, según el estudio realizado por la firma especializada en seguridad informática, estamos ante un ataque que despliega:
- El malware GreetingGhoul para el robo de criptomonedas
- El troyano de acceso remoto (RAT) conocido como Remcos
Ciberataque: cómo operan
Él El proceso de ataque se pone en marcha cuando un individuo abre sin darse cuenta un archivo malicioso con la extensión PIFque se puede adjuntar a un correo electrónico y se disfraza como un documento de información del programa.
En otras palabras, que El archivo contiene los datos necesarios para que el sistema operativo Windows pueda ejecutar correctamente su contenido..
Una vez que se ejecuta este programa malicioso, inicia la etapa inicial del ataqueque utiliza una biblioteca binaria DLL de Windows. Esta biblioteca, que incluye código y datos, se modificó específicamente para ejecutar un ‘código shell’.
El ‘código shell’que consiste en el conjunto de instrucciones utilizadas para realizar actividades maliciosas en el dispositivo de la víctima, descarga una imagen en formato PNG que contiene una carga útil maliciosa. Esta carga útil se activa en una fase posterior del proceso.
Los atacantes utilizaron un software malicioso llamado DoubleFinger.
En esta etapa, según información recopilada por Kaspersky, se reveló que DoubleFinger tiene hasta cinco etapas que permiten programar GreetingGhoul.
Por aquí, es posible activar su ejecución diariamente a una hora predeterminada en el dispositivo del afectado.
De este modo, una vez que GreetingGhoul esté completamente operativo, los atacantes proceden a robar las credenciales de criptomoneda utilizando dos elementos diferentes.
En un lado, Se utiliza MS WebView2una tecnología que aprovecha la generación de overlays en las interfaces de los monederos de criptomonedas de las víctimas.
En segundo lugar, hay un servicio encargado de robar información confidencialespecíficamente claves o frases de recuperación de contraseña.
A través de este conjunto de acciones, los atacantes informáticos logran acceder a las criptomonedas de sus víctimas.
Los atacantes operaron una vez que los usuarios abrieron un documento malicioso con extensión PIF.
Además, Kaspersky proporcionó información detallada sobre el uso de DoubleFinger por parte de los ciberdelincuentes para implementar el troyano de acceso remoto Remcos RAT..
Este último es comúnmente utilizado por actores maliciosos en sus ataques dirigidos a empresas y organizaciones.
Específicamente, el ‘shellcode’ presente en este troyano tiene capacidades de esteganografía, lo que implica la capacidad de ocultar mensajes dentro de otros mensajes.
Además, hace uso de las interfaces COM de Windows para llevar a cabo una ejecución sigilosa, lo que dificulta considerablemente su detección.
seguridad de criptomonedas
De acuerdo con las palabras del experto en seguridad GReAT de Kaspersky, Sergey Lozhkin, Señaló que si se mantienen atentos, bien informados y adoptan fuertes medidas de seguridad, los usuarios pueden reducir los riesgos asociados con la protección de estos valiosos activos digitales.
En este contexto, Kaspersky proporcionó algunas pautas y sugerencias para mantener seguros los criptoactivos..
Sergey Lozhkin, el gran experto en seguridad líder de Kaspersky, Señaló que si se mantienen atentos, bien informados y adoptan fuertes medidas de seguridad, los usuarios pueden reducir los riesgos asociados con la protección de estos valiosos activos digitales.
En primer lugar, D.destacó la relevancia de adquirir billeteras exclusivamente de fuentes oficiales. Además, enfatizó que la Las ‘carteras de hardware’ nunca requerirán ingresar la frase semilla en la computadora.
Si elige comprar una ‘cartera de hardware’, es importante verificar que no haya sido manipulado antes de usarlo.
De hecho, cualquier evidencia de adhesivo, marcas o elementos inusuales pueden ser signos de que la ‘cartera de hardware’ ha sido manipulada anteriormente.
Además, se recomienda realizar una verificación exhaustiva del ‘firmware’ y utilizar contraseñas de alta complejidad para reforzar la seguridad.