ESET advierte sobre nuevo malware que hace minería y roba criptomonedas

Investigadores de ESET descubrieron una familia de malware, que hasta ahora no había sido documentada, a la que denominaron KryptoCibule. Así lo informaron desde Press Perú, el 10 de septiembre.

Según explicaron, este malware es una triple amenaza en vinculación con las criptomonedas: “Utiliza los recursos de la víctima para minar monedas, intenta tomar el control de las transacciones reemplazando las direcciones de las billeteras en el portapapeles, y exfiltra archivos (código malicioso tiene la capacidad de enviar documentos desde la máquina afectada al cibercriminal) relacionados con criptomonedas; todo esto mientras hace uso de múltiples técnicas para evitar la detección. Por otra parte, KryptoCibule hace un uso extensivo de la red Tor y el protocolo BitTorrent en su infraestructura de comunicación”.

En el artículo señalaron además: “El malware también emplea algunos software legítimos. Algunos, como Tor y Transmission, están empaquetados con el instalador; otros se descargan en tiempo de ejecución, incluidos Apache httpd y el servidor SFTP Buru”.

Luego agregaron: “KryptoCibule se propaga a través de torrents maliciosos para archivos ZIP cuyo contenido se hace pasar por instaladores de software y juegos pirateados o crackeados. Cuando se ejecuta Setup.exe, decodifica tanto el malware como los archivos de instalación esperados. Luego lanza el malware (en segundo plano) y el instalador esperado, sin darle a la víctima ninguna indicación de que algo anda mal”.

Cabe tener en cuenta que las víctimas también son utilizadas para sembrar tanto los torrents utilizados por el malware como los torrents maliciosos que ayudan a propagarlo. Esto hace que archivos estén ampliamente disponibles para que otros los descarguen. De esta manera se aceleran las descargas y se proporciona redundancia.

Aparentemente hay varias versiones: “Los investigadores descubrieron varias versiones de este malware, lo que permitió rastrear su evolución desde diciembre de 2018”.

Actividad
El malware KryptoCibule se mantiene activo, pero hasta el momento no parece haber atraído mucha atención.

Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica, brindó algunos detalles -según citaron desde Press Perú-:

“Al momento de publicar esta información, las billeteras utilizadas por el componente para tomar control del portapapeles habían recibido un poco más de 1,800 dólares estadounidenses en Bitcoin y Ethereum. El número relativamente bajo de víctimas (de cientos) y el hecho de estar limitado en su mayoría a dos países contribuyen a su bajo perfil”.

Después añadió:

“Se han agregado de forma regular nuevas capacidades a KryptoCibule durante su vida útil y continúa en desarrollo activo. Presumiblemente, los operadores detrás de este malware pudieron obtener más dinero robando billeteras y extrayendo criptomonedas que lo que encontramos en las billeteras utilizadas por el componente para la toma de control del portapapeles. Los ingresos generados por ese componente por sí solos no parecen suficientes para justificar el esfuerzo de desarrollo observado.”

Blancos

El sitio web “We Live Security”, de Eset, publicó el 3 de septiembre que, según la telemetría de ESET, el malware parece apuntar principalmente a usuarios en República Checa y Eslovaquia. “Esto refleja la base de usuarios del sitio en el que se encuentran los torrents infectados”, detallaron.

Fuente: https://es.cointelegraph.com/news/eset-warns-about-new-malware-that-mines-and-steals-crypto-currencies

www.crypto-news.blog

“Criptomonedas, una joya muy preciada por los malware”

Por Moris Beracha.-

Artículo publicado en: http://www.periodistadigital.com

Un gran número de empresas que desarrollan programas antimalware, se encuentran trabajando fuertemente para contrarrestar todos los ataques que se vienen presentando diariamente por aplicaciones maliciosas que buscan adueñarse de manera fraudulenta de criptomonedas.

El más reciente y moderno ataque fue descubierto por la compañía de ciberseguridad rusa Group IB advierte sobre un malware de nueva generación que actúa en hasta 32 aplicaciones de criptomonedas y en más de 100 bancos internacionales a través de sus aplicaciones para dispositivos móviles Android.

“El troyano se hace pasar por una actualización para robar en la cuenta bancaria”

El fin de este malware, conocido por el nombre de “Gustuff”, es el de hacerse con activos financieros en los intercambios de divisas para el enriquecimiento de sus creadores.

Cabe destacar que nunca antes había sido analizado, ya que no se había detectado y por ese motivo hay alarmas en los poseedores de criptomonedas.

Unidad 42 de la firma Palo Alto Networks también ha revelado que un grupo de hackers desconocidos están utilizando una versión del malware “Cardinal RAT” para comprometer los sistemas informáticos de firmas fintech y de criptomonedas.

“El objetivo de los delincuentes es obtener credenciales y otros datos confidenciales que permitan les permitan hacerse con los fondos de los usuarios”, advierten. 
Desde que fue detectado por primera vez hace dos años, el troyano Cardinal RAT se ha mantenido bajo el radar de las empresas de seguridad informática. Sin embargo, esto no ha impedido que los hackers lo utilicen para infiltrarse en las redes de empresas de gran valor que operan bajo el ecosistema de Windows.

Asimismo, el grupo de ciberdelincuentes Lazarus, presuntamente financiado por Corea del Norte, ha adoptado nuevas tácticas para hacerse con criptomonedas de forma ilícita. La información fue suministrada por Kaspersky Lab.

Aparentemente, la organización ha estado utilizando scripts personalizados de PowerShell que interactúan con servidores maliciosos C2 y ejecutan comandos desde el operador, lo que les permite atacar tanto sistemas Windows como MacOS.

Cabe destacar que la gran mayoría de empresas de ciberseguridad señalan que los hackers siguen teniendo como principal objetivo los sistemas involucrados en las industrias de criptomoneda y fintech, por lo que aconsejan a los jugadores de esos sectores que tengan cuidado y traten en la medida de sus posibilidades de resguardar sus bienes digitales, con los programas de seguridad de su preferencia para evitar cualquier tipo de robo o estafa.

CryptoNews – Todo lo que usted quiere saber sobre las criptomonedas en un solo lugar

Los hackers de Corea del Norte van a por los ‘exchanges’ de criptomonedas y los usuarios de Mac

Detrás de los ataques se encuentra el grupo informático Lazarus, relacionado con Corea del Norte.

Corea del Norte ha sido noticia hace relativamente poco por su relación con diversos ataques informáticos realizados contra empresas estadounidenses, los cuales cuentan con una abanico de intenciones de lo más amplio, desde robar información hasta obtener un beneficio económico de manera directa. En esta ocasión, el país que se encuentra bajo la dictadura de Kim Jong-un parece ser el responsable de un nuevo ataque relacionado con el mundo de las criptomonedas.

Naturalmente, el país no se ve implicado de manera directa en estas acusaciones, sino que lo hace su grupo de informático de hackers, conocido como Lazarus. Estos han sido los protagonistas de diversos ataques en el pasado, especialmente durante los últimos años debido a la creciente profesionalización del mencionado conjunto. El último de ellos se está llevando a cabo contra los exchanges o plataformas de intercambio de criptomonedas, los lugares en los que se compran y venden las divisas virtuales.

Los ataques llegan al Mac

El malware, que ha sido descubierto Kaspersky Lab y bautizado como AppleJeus, cuenta con diferentes peculiaridades, pero quizá la más notoria sea que se trata de la primera vez que se tiene consciencia de un software de este tipo dirigido por parte de Lazarus al sistema de la compañía de la manzana mordida. El modus operandi, detallan, consiste “en la penetración en la infraestructura del exchange cuando un empleado desprevenido de la empresa descarga una aplicación de terceros un sitio web de aspecto legítimo de una empresa que desarrolla software para el comercio de criptomonedas”.

La aplicación, insisten, no tiene ningún aspecto sospechoso. Solo un detalle en el código es capaz de delatar el engaño, el cual se esconde en forma de actualizador. Este recolecta datos de la máquina en la que se ha instalado dicho software y lo envía a los ciberdelincuentes, decidiendo estos en base a la información obtenida si merece la pena atacar o no el equipo. En caso de considerarlo oportuno, un troyano reconocido como Fallchill –instalado mediante la herramienta mencionada– dota a los atacantes de la posibilidad de comprometer los datos del ordenador.

Notamos un interés creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instaló el software de minería Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces con el objetivo de intercambiar criptomonedas junto con organizaciones financieras tradicionales.

Desde Kaspersky señalan, además, que este software supone un riesgo potencial de cara al futuro tanto usuarios de Windows como de Mac, aunque estos últimos hayan estado históricamente menos expuestos a ataques de esta índole. “El hecho de que desarrollaron malware para infectar usuarios de macOS además de usuarios de Windows y, muy probablemente, incluso hayan creado una compañía de software y un producto de software completamente falsos para poder entregar este malware no detectado por soluciones de seguridad, significa que ven potencialmente grandes ganancias en toda la operación”, afirman. “Para los usuarios de macOS, este caso es una llamada de atención, especialmente si usan sus Macs para realizar operaciones con criptomonedas”.

https://hipertextual.com/2018/08/corea-norte-hackers-lazarus-criptomonedas

Te invito a visitar mi página web: www.morisberacha.com