Malware roba datos de tu explorador para infiltrarse en tus carteras de criptomonedas

Los investigadores de la Unidad 42 de Palo Alto Networks identificaron un nuevo malware que utiliza los datos almacenados en los buscadores de Internet para acceder a las plataformas de intercambio de criptomonedas.

El equipo publicó el hallazgo en su página web este 31 de enero. Los investigadores explicaron que el malware ha sido llamado CookieMiner, pues roba las cookies del navegador de los sitios visitados por las víctimas para obter acceso a sus cuentas de intercambio o a las carteras y disponer de sus fondos.

El equipo señala que CookieMiner podría haber sido desarrollado a partir del malware OSX.DarthMiner, conocido por atacar principalmente la plataforma Mac. En ese sentido, agrega que el nuevo malware también puede robar los datos guardados en Chrome y Safari e incluso intenta acceder a mensajes de texto de iPhone desde las copias de seguridad.

De esta forma, los piratas informáticos pueden disponer de la información que el usuario haya guardado en los navegadores, entre ellas sus nombres de usuario, contraseñas, credenciales de tarjetas de crédito, e incluso datos de acceso a plataformas de intercambio y carteras de criptoactivos.

Al robar las cookies, el malware puede burlar el proceso de autenticación en dos factores que utilizan la mayoría de los sitios relacionados con el manejo de criptoactivos. Con ello se inician sesiones en sitios asociados con un host previamente autenticado, razón por la cual no se emitirá ninguna alerta ni se solicitarán métodos de autenticación adicionales. Así, al poseer el ciberdelincuente una combinación de las credenciales de inicio de sesión, mensajes de texto y demás información, puede disponer de los fondos de sus víctimas.

Si los malos actores ingresan con éxito a los sitios web utilizando la identidad de la víctima, podrían realizar retiros de fondos. Esta puede ser una forma más eficiente de generar ganancias que la minería de criptomonedas. Además, los atacantes podrían manipular los precios de la criptomoneda con compras y/o ventas en gran volumen de activos robados, lo que resulta en ganancias adicionales.

Unidad 42 de Palo Alto Networks

A lo anterior se añade la posibilidad de minar criptomonedas, pues instala un software llamado xmrig2 en el dispositivo de la víctima. Este es el nombre de un programa para minar monero, aunque en realidad extrae koto, una criptomoneda de origen japonés orientada a la privacidad, que puede ser extraída a través de CPU. Para iniciar este proceso, el malware emite una serie de comandos que permiten configurar el equipo de la víctima, instalando el programa xmrig2.

Funcionamiento de CookieMiner

De acuerdo a lo que indica el equipo de investigadores, los ataques dirigidos al sistema operativo de Mac comienzan con un script, mediante el cual se copian las cookies del navegador Safari en una carpeta y se cargan en un servidor remoto. El ataque se dirige a las cookies asociadas con casas de cambio de criptomonedas o cualquier sitio web que tenga la palabra blockchain en su nombre de dominio. El equipo de investigadores menciona a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet como plataformas que suelen ser el blanco.

En el caso de Google Chrome, CookieMiner descarga una secuencia de comandos de Python (lenguaje de programación) llamada harmlesslittlecode.py y con ello extrae las credenciales de inicio de sesión guardadas y la información de datos locales almacenada en Chrome.

En términos generales, el malware reporta a un servidor remoto todas las rutas de archivos relacionadas con credenciales, claves de inicio de sesión, acceso a carteras de criptomonedas y tarjetas de créditos, para así robar la información de los emisores. En consecuencia, los investigadores de Palo Alto recomiendan a los propietarios de criptomonedas vigilar sus configuraciones de seguridad y activos digitales para evitar riesgos y fugas.

En ese sentido, la principal recomendación es aumentar las medidas de seguridad, pues existen muchas formas en la que los hackers pueden robar las criptomonedas.

Hace una semana un investigador de seguridad informática detectó un malware de Windows, que se muestra como una película en The Pirate Bay y es capaz de robar criptomonedas o colocar contenido perjudicial en Google, Wikipedia y Yandex. El programa monitorea las páginas web con direcciones de carteras de bitcoins y ethers para luego reemplazarlas por otras que sean del dominio del atacante.

Imagen destacada por: audy_indy / stock.adobe.com