Kaspersky, una reconocida empresa de ciberseguridad, ha descubierto una sofisticada campaña de ataques dirigidos a wallets de criptomonedas en Europa, Estados Unidos y Latinoamérica. El software malicioso conocido como DoubleFinger despliega dos componentes dañinos, el ladrón de criptomonedas GreetingGhoul y el troyano de acceso remoto (RAT) Remcos. El análisis de Kaspersky revela que esta campaña posee un alto nivel técnico y representa una seria amenaza para los usuarios de criptomonedas.
La investigación realizada por Kaspersky revela que el malware multifase DoubleFinger inicia su ataque cuando la víctima, sin percatarse, abre un archivo PIF adjunto malicioso recibido por correo electrónico. Esta acción desencadena la ejecución de la primera fase, que utiliza un binario DLL de Windows modificado para luego ejecutar un shellcode. Este shellcode descarga una imagen PNG que contiene una carga útil (payload) que se lanzará más adelante.
En total, DoubleFinger despliega cinco fases para programar GreetingGhoul en el equipo de la víctima, activándolo diariamente a una hora específica. GreetingGhoul está diseñado para robar credenciales de criptomonedas y consta de dos componentes principales. El primero, MS WebView2, crea superposiciones en las interfaces de las wallets de criptomonedas. El segundo es un servicio que roba información confidencial como claves y frases de recuperación.
Además de GreetingGhoul, Kaspersky también encontró indicios de DoubleFinger descargando el troyano de acceso remoto (RAT) Remcos. Remcos es un RAT comercial ampliamente conocido y utilizado por ciberdelincuentes en ataques contra empresas y organizaciones. El shellcode utilizado en esta campaña presenta capacidades de esteganografía, permitiendo ocultar mensajes dentro de otros mensajes, y utiliza interfaces COM de Windows para una ejecución sigilosa. Estas características evidencian que se trata de un software complejo y bien diseñado.
«El interés de los ciberdelincuentes por las criptomonedas crece a medida que estos activos digitales se vuelven más populares en la sociedad. El grupo responsable de DoubleFinger y GreetingGhoul ha demostrado habilidades notables en el desarrollo de software malicioso, similar a las amenazas persistentes avanzadas (APT). La protección de las wallets de criptomonedas es responsabilidad de los proveedores de wallets, de los usuarios y de la comunidad de criptomonedas en general. Si se mantienen la vigilancia, la información actualizada y se implementan sólidas medidas de seguridad, es posible mitigar los riesgos que acechan a estos valiosos activos digitales», explica Sergey Lozhkin, analista principal de seguridad en GReAT de Kaspersky.
Para mantener tus criptoactivos seguros, Kaspersky recomienda:
- Comprar billeteras solo en fuentes oficiales y vendedores autorizados. En el caso de las hardware wallets, nunca se te solicitará introducir la frase semilla en el ordenador.
- Verificar que la wallet no haya sido manipulada. Si se observan restos de pegamento, rasguños o componentes extraños, se debe sospechar de una manipulación previa de la billetera física.
- Verificar y mantener actualizado el firmware desde la página oficial del fabricante.
- Mantener a salvo la frase semilla. Al configurar la wallet, es fundamental anotar y guardar en un lugar seguro la frase inicial. Una solución de seguridad confiable, como Kaspersky Premium, protege los datos criptográficos almacenados en dispositivos móviles y computadoras personales.
- Utilizar contraseñas fuertes. Evitar contraseñas fáciles de adivinar y no reutilizar las contraseñas de otras cuentas.
En Frikipandi, nos comprometemos a mantener a nuestros lectores informados sobre las últimas amenazas y tendencias en el ámbito tecnológico. Manténganse actualizados y sigan las mejores prácticas de seguridad para proteger sus criptoactivos.
Nota: Este artículo ha sido elaborado con fines educativos y de divulgación, con el objetivo de crear conciencia entre los usuarios sobre las amenazas relacionadas con la seguridad de las criptomonedas
. Leer artículo completo en Frikipandi DoubleFinger: El Malware Multifase que Roba Criptomonedas.