Ciberdelincuentes utilizan robador de información para robar criptomonedas

Los investigadores de Avast han publicado hoy un análisis en profundidad de ViperSoftX. Este es un ladrón de información utilizado principalmente para robar criptomonedas. El ladrón de información suele instalar una extensión del navegador, que los investigadores de Avast han llamado VenomSoftX, para obtener acceso completo a los navegadores Chromium. ViperSoftX se propaga principalmente a través de versiones de software crackeadas de Adobe Illustrator, Corel Video Studio y Microsoft Office que se distribuyen habitualmente a través de torrents. Avast ha bloqueado más de 93.000 intentos de infección de ViperSoftX en todo el mundo desde enero de 2022. Los tres principales países en los que Avast bloqueó ViperSoftX son India, Estados Unidos e Italia. Avast también protegió a cerca de 1,000 clientes en Argentina de ViperSoftX.

“Se estima que los ciberdelincuentes detrás de ViperSoftX robaron más de $130,000 en criptomonedas, robando Bitcoins, Ethereum, Dogecoins, Bitcoin Cach, Cosmos (ATOM), Tezos y Dash”, dijo Jan Rubin, investigador de malware en Avast. “Cuando la gente descarga versiones crackeadas de programas caros, tienen la intención de ahorrar dinero, pero a menudo terminan perdiendo dinero. Frecuentemente vemos malware disfrazado de software descifrado, y recomendamos a las personas que tengan cuidado con esto y se atengan a las versiones oficiales del software. En este caso, en lugar de descargar el software deseado, las personas descargan un archivo ejecutable llamado ‘Activator.exe’ o ‘Patch.exe’ y, luego de la ejecución, sus computadoras se infectan con el ladrón de información”.

Capacidades de robo de ViperSoftX

ViperSoftX puede robar información relacionada con el dispositivo infectado, incluido el nombre de la computadora, el nombre de usuario, detalles sobre el sistema operativo y la arquitectura, y si el dispositivo está ejecutando un software antivirus activo. ViperSoftX roba criptomonedas almacenadas localmente en el dispositivo infectado en software de criptomonedas y extensiones de navegador y monitorea el portapapeles en busca de direcciones de billeteras de criptomonedas para realizar el cambio de portapapeles.

ViperSoftX verifica el contenido del portapapeles para detectar direcciones de billetera. Si se detecta una dirección de billetera, el malware reemplaza el contenido del portapapeles con la dirección del atacante y envía el dinero directamente a la cuenta del ciberdelincuente. Las criptomonedas que roba el ladrón de información incluyen: BTC, BCH, BNB, ETH, XMR, XRP, DOGE y DASH.

Además, el ladrón tiene la funcionalidad de troyano de acceso remoto (RAT) y, por lo tanto, puede ejecutar comandos arbitrarios desde la línea de comandos, descargar cargas útiles adicionales proporcionadas por el servidor C&C y eliminarse del sistema infectado.

Capacidades de robo de la extensión del navegador VenomSoftX

La extensión maliciosa, VenomSoftX, que ViperSoftX instala de manera silenciosa, brinda a los ciberdelincuentes acceso completo a los navegadores de las víctimas, como Chrome, Edge, Brave y Opera. VenomSoftX se disfraza de extensiones de navegador conocidas como Google Sheets. La extensión atrae solicitudes de API en algunos de los intercambios de cifrado más populares como Blockchain.com, Binance, Coinbase, Gate.io y Kucoin. Cuando se llama a una API para enviar o retirar criptomonedas, la extensión VenomSoftX falsifica la solicitud para redirigir todas las criptomonedas de la cuenta de la víctima a la cuenta del atacante. Este método funciona a un nivel más bajo que el intercambio de portapapeles común, por lo que es muy difícil de detectar. La extensión también es capaz de robar contraseñas de intercambio de criptomonedas.

Fuente: https://tynmagazine.com/ciberdelincuentes-utilizan-robador-de-informacion-para-robar-criptomonedas/

Anuncio publicitario

Hackeo a GoDaddy compromete a varias empresas de criptomonedas

Después que varios empleados de GoDaddy fueran despojados de sus claves de acceso mediante técnicas de suplantación de identidad, los piratas informáticos han centrado sus ataques sobre las plataformas de criptomonedas alojadas por la compañía. Los servicios de Liquid y NiceHash reportaron amenazas recientes, aunque hay sospechas de que otras plataformas pudieran estar entre las víctimas.

El exchange de criptomonedas Liquid reportó problemas de seguridad a mediados de noviembre. En una publicación oficial, Mike Kayamori, CEO de la empresa señaló que de manera equivocada GoDaddy había cedido el control de su dominio web a un actor malintencionado.

Kayamori dijo que los ciberdelincuentes violentaron parcialmente la infraestructura del sitio, cambiaron los registros DNS, tomaron posesión de varias cuentas de correo electrónico internas y accedieron a documentos importantes. La empresa recomendó a sus usuarios cambiar contraseñas y tomar medidas de seguridad adicionales para evitar filtración de sus datos. Añadió que había controlado el ataque antes de que los hackers tuvieran acceso a las cuentas y activos de sus clientes.

Cuatro días después, el servicio de minería de criptomonedas NiceHash, también informó que fue víctima de un ataque. La empresa dijo que tras detectar cambios no autorizados en la configuración de su dominio web registrado en GoDaddy, decidió congelar los fondos de sus clientes durante 24 horas. De esa manera evitó que los atacantes pudieran transferir criptomonedas.

Matjaz Skorjanc, fundador de NiceHash, detalló algunos datos curiosos como que los atacantes habían redirigido el correo electrónico de la empresa hacia un sitio llamado privateemail, un proveedor de servicio administrado por Namecheap que es otro registrador de nombres de dominio. También dijo que en medio del ataque no logró comunicarse con su proveedor de alojamiento web porque en ese momento GoDaddy estaba experimentando una interrupción generalizada de sus sistemas.

Un informe del especialista en seguridad Brian Krebs supone que otras plataformas de criptomonedas también fueron víctimas de ataque. Sus conjeturas se basan en la suma de varios elementos como el mapeo de los dominios web registrados en GoDaddy con alteraciones recientes en sus correos electrónicos. Luego analizó los dominios que fueron dirigidos a privateemail, como sucedió con NiceHash. Los resultados de su búsqueda incluyeron al exchange Bibox, el servicio de custodia de criptoactivos Celsius y la plataforma de pagos con activos digitales Wirex. Sin embargo, ninguna de estas empresas respondió a las solicitudes de comentarios, como se lee en la publicación Krebs.

GoDaddy dice que sus empleados fueron engañados

En respuesta a las preguntas de Krebs, GoDaddy reconoció que “una pequeña cantidad” de nombres de dominio de sus clientes fueron modificados sin autorización después que un número “limitado” de empleados cayera en un engaño por suplantación de identidad o phishing. El proveedor de servicios de alojamiento web señaló que el 17 de noviembre también sufrió un apagón durante tres horas, aunque descartó que estuviera relacionado con el incidente de seguridad. Dijo que se trataba de un problema técnico que se materializó durante un mantenimiento planificado de la red.

Un portavoz de GoDaddy identificado como Dan Race dijo que cuando la empresa identificó los cambios no autorizados en los dominios de sus clientes, inmediatamente bloqueó las cuentas involucradas y revirtió los cambios.

Race esquivó las preguntas relacionadas sobre cómo fueron engañados los empleados para que hicieran cambios no autorizados. Al respecto sólo dijo que el asunto aún estaba bajo investigación.

GoDaddy tampoco ha dado detalles sobre los ataques que en marzo afectaron a varios sitios, entre ellos el de la plataforma de servicios financieros Escrow, la cual fue redirigida a un sitio falso llamado servicenow-godaddy.com. En su informe Krebs sugiere que los atacantes detrás de los incidentes de principios de año y el actual pueden estar relacionados y ser consecuencia de la misma técnica de suplantación de identidad para obtener las claves de acceso.

En mayo, GoDaddy informó una violación de seguridad que resultó en acceso no autorizado a cuentas con SSH, Secure Shell o protocolo de administración de servidores de manera remota, en la infraestructura de alojamiento de la empresa. La compañía dijo que no había encontrado evidencia de manipulación que hubiera afectado a los clientes. No obstante, luego dijo que proporcionaría herramientas de seguridad gratuitas durante un año, a todos los afectados.

Fuente: https://www.criptonoticias.com/seguridad-bitcoin/hackeo-godaddy-compromete-varias-empresas-criptomonedas/

CryptoNews – Todo lo que usted quiere saber sobre las criptomonedas en un solo lugar