Un troyano bancario que roba criptomonedas se dirige a usuarios latinoamericanos

El troyano “Mekotio” pasó del malware bancario convencional que se ajustó para robar criptomonedas.

Los expertos en seguridad cibernética advierten sobre una familia de troyanos bancarios que tienen como objetivo a usuarios de Windows en América Latina, pero este troyano se enfoca en robar criptomonedas.

Según un informe publicado por la empresa de seguridad cibernética ESET, el malware se conoce como “Mekotio” y ha estado activo desde aproximadamente marzo de 2018. Desde entonces, los creadores de la amenaza han estado mejorando continuamente las capacidades y el alcance del ataque, principalmente conocido por atacar a más de 51 bancos.

Pero ahora el troyano se está centrando en Bitcoin (BTC), en lugar de solo robar detalles bancarios. Esto implica que Mekotio está dirigido a usuarios individuales.

España también está en el radar de Mekotio

Las campañas maliciosas fueron entregadas a través de correos electrónicos de phishing por los hackers, y están dirigidas principalmente a Chile y otros países de esa región. Aun así, se han reportado algunos casos en España.

La investigación especifica que se incluye un enlace dentro del cuerpo del correo electrónico, donde los usuarios hacen clic en él y descargan un archivo .zip. Una vez que el usuario descomprime el archivo, aparece un instalador .msi. Si el usuario lo instala, el ataque de Mekotio es exitoso.

Daniel Kundro, un experto en ciberseguridad de ESET, explicó que Mekotio reemplaza las direcciones de billetera BTC copiadas en el portapapeles. Si la víctima quiere hacer una transferencia cripto copiando y pegando una dirección de billetera en lugar de escribirla manualmente, el exploit reemplaza la dirección de billetera de la víctima con la del criminal.

Direcciones de billetera de BTC de varios cibercriminales están involucradas en el ataque

Kundro advierte que los ciberdelincuentes detrás de Mekotio no usan una sola dirección de billetera para recibir su BTC robado. A menudo usan varias billeteras BTC para evitar el rastreo fácil de transacciones.

Pero el troyano no se limita a solo robar criptomonedas y detalles bancarios, sino que también implementa un ataque para robar contraseñas almacenadas en navegadores web.

Según un estudio reciente realizado por Group-IB, un ransomware conocido como ProLock se basa en el troyano bancario Qakbot para lanzar el ataque y pide a las víctimas rescates de seis cifras en dólares pagados en BTC para descifrar los archivos.

Los expertos forenses en criptomonedas de Xrplorer también advirtieron el 15 de junio sobre una elaborada estafa de phishing donde los hackers intentan robar las claves secretas de los usuarios de XRP, bajo la falsa premisa de que Ripple está regalando tokens.

Fuente: https://es.cointelegraph.com/news/a-banking-trojan-that-steals-crypto-is-targeting-latin-american-users

Moris Beracha – CryptoNews

El malware de minería de criptomonedas sigue en aumento, y no parece tener fin

El criptojacking o malware de minería de criptomonedas sigue en su ascenso a los primeros puestos de la lista de amenazas informáticas actuales. El último estudio de la empresa de software de ciberseguridad McAfee muestra un aumento del 86% de este tipo de ataques en el segundo trimestre de 2018.

Los altos niveles de rentabilidad y la facilidad de ejecución de estos ataques de malware de minería de criptomonedas están haciendo crecer su popularidad entre los ciberdelincuentes que están expandiendo el criptojacking a multitud de dispositivos, mucho más allá del tradicional PC.

Durante el primer trimestre de este año, el malware de minería de criptomonedas llegó a superar las 2,9 millones de muestras recogidas en todo el mundo. Y muchas de ellas proceden de ataques ya probados en el pasado, ya que desde McAfee Labs aseguran incluso haber identificado un malware “más antiguo, como el ransomware, recientemente reestructurado con capacidades de minería”.

El criptojacking suele actuar de varias maneras, en todos los casos sin que la víctima se percate del ataque. Una de ellas consiste en instalar en el dispositivo un software malicioso concreto que infecta el equipo y centra sus capacidades en minar las monedas virtuales.

Esto es por ejemplo lo que les ha pasado a un grupo de jugadores de videojuegos, que a través de un foro ruso recibieron un malware como si se tratara de un mod, es decir, un software que modifica el juego original proporcionando nuevas posibilidades, ambientaciones y personajes, entre otras mejoras. Al descargarlo, el malware empezó a utilizar los recursos informáticos de los equipos para lucrarse de su potencia.

Aunque tradicionalmente los PCs han sido las principales víctimas de estos ataques, últimamente también ha comenzado a afectar a otros dispositivos, según explica McAfee en su estudio McAfee Labs Threats Report: septiembre de 2018.

Debido a las velocidades de las CPU de aparatos como los routers o cámaras de vídeo, hasta ahora este tipo de equipos no eran atractivos para el minado de criptomonedas. Sin embargo, el volumen que está alcanzando la red de dispositivos conectados y sus débiles contraseñas, está cambiando las cosas: “Si yo fuera un cibercriminal propietario de una botnet de 100.000 dispositivos IoT, no me costaría casi nada producir suficiente minería de criptomonedas para crear una nueva y rentable fuente de ingresos” explica Christiaan Beek, Principal Engineer de McAfee Advanced Threat Research.

Otras amenazas activas en 2018
Además del cryptojacking, McAfee Labs ha examinado otra serie de amenazas virtuales entre las que destaca el aumento en un 204% del malware oculto en JavaScript o el malware móvil, cuya presencia en la red se acelera por segundo trimestre consecutivo.

Pero hay un claro vencedor: en su informe, McAfee explica que las botnet de spam Gamut superó a todas las demás en este periodo, impulsando grandes volúmenes de ataques phishing en la Agencia Tributaria de Canadá donde se llegaron a publicar incluso ofertas de trabajo falsas.

Fuente: https://computerhoy.com/noticias/tecnologia/aumenta-80-malware-mineria-criptomonedas-multitud-dispositivos-307227

Te invito a visitar mi página web: www.morisberacha.com 

Kaspersky Lab descubre un virus minero de criptomonedas en dispositivos iOS

La empresa rusa de seguridad informática Kaspersky Lab detectó el virus troyano Roaming Mantis que afecta los dispositivos con el sistema operativo iOS para robar los datos de usuarios y realizar minería de criptodivisas.

Según los informáticos, el troyano antes atacó dispositivos Android y ahora extendió su actividad maligna a los iOS.

“Roaming Mantis empezó a robar los datos de cuenta de los usuarios de iOS mediante ‘phishing’, cuando las víctimas acceden a una página desde su dispositivo iOS, les redirige a una página falsa donde los hackers roban los datos de identificación del usuario, su contraseña, número de tarjeta bancaria, fecha de caducidad y código CVV”, explicó la compañía.

Además, el virus ataca los dispositivos iOS para obtener las criptomonedas.

“Su herramienta principal es el servicio de minería de criptomonedas CoinHive que el troyano antes utilizó para atacar las computadoras”, dicen expertos.

El objetivo de los hackers es ganarse el dinero lo antes posible, por tanto en sus ataques alternan la página falsa y la web de minería, pues el método depende de la situación, es decir, cual es el más lucrativo en cada caso. (Sputnik)

Fuente: https://www.elpais.cr/2018/09/21/kaspersky-lab-descubre-un-virus-minero-de-criptomonedas-en-dispositivos-ios/

Te invito a visitar mi página web: www.morisberacha.com

Watchguard alerta de que los mineros de criptomonedas ganan impulso

WatchGuard ha publicado su último Informe de Seguridad en Internet en el que se alterta sobre el incremento de mineros de criptomonedas como propagadores de malware. La inteligencia de amenazas del primer trimestre de 2018 ha revelado que el 98,8% de las variantes de malware aparentemente más comunes de Linux/Downloader en realidad se diseñaron para suministrar un popular minero de criptomonedas basado en Linux.

Esta es solo una de las muchas señales de que el malware malicioso de criptominería se está convirtiendo en una táctica de primer orden entre los ciberdelincuentes. El informe completo ofrece los detalles de los mecanismos de entrega de estos ataques de criptominería, y explora otras de las amenazas de seguridad que a día de hoy se dirigen con frecuencia a las pequeñas y medianas empresas (pymes) y a empresas distribuidas.

Varios mineros de criptomonedas aparecieron por primera vez en la lista de WatchGuard de las 25 principales variantes de malware

“Nuestro equipo del Threat Lab ha descubierto múltiples indicadores que sugieren que los mineros de criptomonedas maliciosos se están convirtiendo en un pilar en los arsenales de los ciberdelincuentes, y continuarán siendo más dominantes en el segundo trimestre”, afirma Corey Nachreiner, director de tecnología de WatchGuard Technologies. “Si bien el ransomware y otras amenazas avanzadas siguen siendo una gran preocupación, estos nuevos ataques de criptominería ilustran que los atacantes están constantemente ajustando sus tácticas para encontrar nuevas formas de aprovecharse de sus víctimas. De hecho, una vez más en el primer trimestre, vimos que casi la mitad de todos los programas maliciosos pasaron por alto las soluciones antivirus basadas en firmas básicas debido a diversos métodos de ofuscación. Una forma de que cada organización pueda volverse más segura frente a estas sofisticadas y evasivas amenazas pasa por desplegar defensas habilitadas con prevención avanzada de malware como nuestro servicio APT Blocker”.

El Informe de Seguridad en Internet de WatchGuard ofrece información detallada sobre las principales ciberamenazas cada trimestre, junto con recomendaciones y tips de defensa que las pymes pueden utilizar para protegerse. Los hallazgos se basan en los datos de decenas de miles de dispositivos UTM Firebox activos en todo el mundo. Las principales conclusiones del informe del primer trimestre de 2018 destacan:

Los mineros de criptomonedas van en aumento. Varios mineros de criptomonedas aparecieron por primera vez en la lista de WatchGuard de las 25 principales variantes de malware. Los appliances Firebox tienen una regla llamada Linux/Downloader, que capta una variedad de programas “dropper” o “downloader” de Linux que descargan y ejecutan cargas útiles de malware. Por lo general, estos droppers descargan una amplia gama de malware, pero en el primer trimestre de 2018, el 98,8% de las instancias de Linux/Downloader intentaban descargar el mismo popular criptominero basado en Linux. La evidencia para el segundo trimestre indica que el malware de criptominado permanecerá en del Top 25 de WatchGuard e incluso podría llegar a situarse entre los 10 primeros puestos para el final del trimestre.

El troyano Ramnit regresa a Italia. La única muestra de malware en el ranking de los Top 10 de WatchGuard que no había aparecido en el informe anterior fue Ramnit, un troyano que surgió por primera vez en 2010 y tuvo un breve resurgimiento en 2016. Casi todas (98,9%) de las detecciones de Ramnit identificadas por WatchGuard provenían de Italia, lo que indica una campaña de ataque dirigida. Dado que las versiones anteriores de Ramnit tenían como foco las credenciales bancarias, WatchGuard aconseja a los italianos que tomen precauciones adicionales con su información bancaria y habiliten la autenticación multifactor para cualquier cuenta financiera.

Por primera vez, la región de Asia-Pacífico (APAC) registró el mayor volumen de ataques de malware. En informes anteriores, APAC había seguido a EMEA y AMER en el número de impactos de malware denunciados, tendencia que ha cambiado en el primer trimestre de este año. La gran mayoría de estos ciberataques fueron malware basado en Windows y el 98% fueron dirigidos a India y Singapur.

Casi la mitad de todos los programas maliciosos eluden las soluciones antivirus (AV) básicas. Los appliances UTM de WatchGuard bloquean el malware utilizando tanto técnicas de detección heredadas basadas en firmas como una solución moderna y proactiva de detección de comportamiento: APT Blocker. Cuando APT Blocker detecta una variante de malware, significa que las firmas heredadas de AV lo habían detectado. Este malware zero-day (capaz de evadir el AV tradicional basado en firmas) representó el 46% de todo el malware del primer trimestre. Este nivel de malware zero-day sugiere que los delincuentes continúan utilizando técnicas de ofuscación de datos para vencer a los servicios de los antivirus tradicionales, haciendo hincapié en la importancia de la defensa basada en el comportamiento.

Mimikatz apunta a EE.UU. y omite Asia Pacífico. El malware para robar credenciales de Windows Mimikatz reapareció en la lista del Top 10 de malware de WatchGuard después de varios trimestres de ausencia. Dos tercios de los casos detectados de este malware tuvieron lugar en Estados Unidos y menos del 0,1% de las detecciones se realizaron en APAC, posiblemente debido a la complejidad de los caracteres de doble byte en países como Japón, que usan un lenguaje basado en símbolos para las contraseñas.

El informe completo sobre seguridad en Internet incluye un desglose detallado del ataque DDoS de 1,35 Tbps de GitHub, que batió récords, así como un análisis de los principales ataques de malware y de red del trimestre, y de las principales tácticas de defensa clave para las pymes.

Fuente: https://www.revistabyte.es/actualidad-byte/mineros-de-criptomonedas/