Ciudad de México, 11 de julio 2023. Una nueva amenaza contra las billeteras de criptomonedas digitales está circulando activamente en Europa, Estados Unidos y América Latina, alertó la firma de ciberseguridad Kaspersky.
Se trata de un sofisticado malware denominado “DoubleFinger” con el que se busca robar criptodivisas hasta de billeteras físicas o de hardware, que incluso son más seguras que los criptomonederos comunes.
El programa ladrón GreetingGhoul es lo más destacado de este tipo de estafa, ya que tiene dos componentes: el primero sirve para detectar si hay aplicaciones de billetera digital de criptomonedas instaladas en la máquina infectada.
Una vez que se detectan los objetivos, el segundo módulo crea pantallas que se superpondrán en la ventana de la aplicación de la billetera para robar las credenciales, las frases de recuperación y las claves de los activos digitales, explicó la firma.
“La investigación muestra que la infección comienza cuando la víctima abre un archivo PIF malicioso, incluido como adjunto en un correo electrónico, que infecta la computadora con DoubleFinger.
“Este loader se encarga del proceso de infección, el cual se divide en cinco etapas para evadir la detección por los productos de seguridad”, expuso.
Además del ladrón GreetingGhoul, Kaspersky también encontró muestras de DoubleFinger que descargan el Remcos RAT, un programa comercial de acceso remoto (RAT) que los ciberdelincuentes suelen utilizar en ataques dirigidos contra empresas y organizaciones.
En este caso, el grupo utiliza esta característica para eludir las aplicaciones de billetera digital que sólo funcionan en computadoras previamente autorizadas, ya que los atacantes realizan acceso remoto a estos dispositivos autorizados y cometen fraude.
Kaspersky detalló que el ataque a criptobilleteras opera en cinco etapas y logra robar hasta las almacenadas en una billetera de hardware, que en cierto modo es una billetera física o desconectada de internet, lo que las hace más seguras que las billeteras digitales comunes.
La estafa utiliza el loader DoubleFinger para descargar archivos maliciosos en el sistema infectado, el programa de robo de criptomonedas GreetingGhoul, y el troyano de acceso remoto (RAT) Remcos para controlar el dispositivo comprometido, abundó.
El análisis de los expertos de Kaspersky destaca el alto nivel técnico del ataque y su naturaleza de múltiples etapas, que lo asemeja a un ataque de amenaza persistente avanzada.
Para mantener los criptoactivos a salvo, Kaspersky recomendó comprar productos oficiales, comprobar que no hay señales de manipulación, verificar siempre que el firmware en la billetera de hardware sea legítimo y esté actualizado, así como usar una contraseña segura.
Texto y foto: Agencia Reforma
