Un grupo de investigadores descubrió una campaña de ataques contra ‘wallets’ de criptomonedas en Europa, Estados unidos y Latinoamérica, que actúa a través del malware multifase DoubleFinger, que despliega el ladrón de criptomonedas GreetingGhoul y el troyano Remcos.
Actualmente, el interés de los ciberdelincuentes por las criptomonedas está creciendo a un ritmo acelerado y, en este caso, los actores maliciosos han llegado a desarrollar un ‘software’ delictivo muy similar a las amenazas persistentes avanzadas (APT, por sus siglas en inglés) para tener acceso a a estos activos.
Se trata de una campaña que utiliza un ‘software’ complejo de alto nivel técnico basada en una ejecución multifase, que recibe el nombre de DoubleFinger. Esta campaña se ha lanzado con el objetivo de robar credenciales de criptomonedas a los usuarios en países de Europa y Latinoamérica, así como Estados Unidos, tal y como ha detallado un grupo de investigadores Kaspersky.
En este sentido, según la investigación llevada a cabo por la compañía de ciberseguridad, se trata de un ataque que despliega, por un lado, el ladrón de criptomonedas GreetingGhoul y, por otra parte, el troyano de acceso remoto (RAT) Remcos.
El ataque se inicia cuando un usuario abre inconscientemente un archivo malicioso con extensión PIF, que puede ir adjunto en un correo electrónico, y que se trata de un documento de información de programa. Es decir, contiene la información necesaria para que el sistema operativo Windows ejecute su contenido.
Una vez abierto este ‘software’ malicioso, comienza la primera fase del ataque, que utiliza un DLL binario de Windows, esto es una biblioteca que contiene código y datos, pero modificado para ejecutar un ‘shellcode’.
Este ‘shellcode’, que es el código utilizado para la ejecución de una actividad maliciosa en el equipo de la víctima, descarga una imagen PNG que incluye o carga útil maliciosa, que se lanza en una próxima fase del proceso.
Llegados a este punto, según ha podido conocer Kaspersky, DoubleFinger registra hasta cinco fases para programar GreetingGhoul, consiguiendo así activar su uso todos los días a una hora específica en el dispositivo de la víctima.
De esta forma, con GreetingGhoul en funcionamiento, proceden a robar credenciales de criptomonedas utilizando dos componentes. Por un lado MS WebView2, que se basa en la creación de superposiciones en las interfaces de la billetera de criptomonedas de la víctima. En segundo lugar, un servicio que roba la información confidencial, es decir, las claves o frases de recuperación de contraseñas. Con todo ello, los ciberdelincuentes consiguen acceso a las criptomonedas.
Por otra parte, Kaspersky ha detallado que los ciberdelincuentes también utilizan DoubleFinger para desplegar el troyano de acceso remoto Remcos RAT, que los actores maliciosos suelen utilizar para sus ataques contra empresas y organizaciones.
En concreto, el ‘shellcode’ de este troyano dispone de capacidades de esteganografía -la habilidad de ocultar mensajes dentro de mensajes- y usa interfaces COM de Windows para llevar a cabo una ejecución silenciosa, por lo que su detección se vuelve más compleja.
Protección de criptomonedas
Tal y como ha explicado el analista principal de seguridad en GReAT de Kaspersky, Sergey Lozhkin, perteneciente al grupo de investigadores que ha descubierto esta nueva amenaza de DoubleFinger, ante este tipo de ataques la protección de las billeteras criptográficas “es responsabilidad de los proveedores de ‘wallets’, las personas y la comunidad de criptomonedas en general”.
Con base a ello, ha advertido que si se está “alerta, informado y se implementan medidas de seguridad sólidas” los usuarios pueden llegar a mitigar estos “valiosos activos digitales”.
En este marco, Kaspersky ha facilitado algunas recomendaciones de cara a mantener los criptoactivos a salvo. En primer lugar, ha destacado la importancia de comprar billeteras solo en fuentes oficiales y, además, ha puntualizado que con las ‘hardware wallets’ nunca se requerirá introducir la frase semilla en el ordenador.
En caso de comprar una ‘hardware wallet’, los usuarios también deberán comprobar que no haya sido manipulada. De hecho, cualquier resto de pegamento, rasguño o componente extraño podrían ser un indicativo de que se ha manipulado previamente. Otra medida a tener en cuenta es verificar el ‘firmware’, además de implementar contraseñas de difícil descifrado.
*Con información de Europa Press.