Advierten sobre malware que roba credenciales de acceso y criptomonedas

En casos de ataques con el virus informático ransomware, que básicamente bloquea y secuestra tus archivos, sólo tú decides si pagar o no. Pero no siempre tienes esa opción cuando se trata de malware, pues otros hackers se irán directo por el botín sin preguntarte, tratando además de que ni siquiera te des cuenta.

Ese es el caso del nuevo malware descubierto por la compañía de ciberseguridad Cyren, que combina el phishing con el keylogger para robar tanto tus contraseñas como los fondos de varias carteras de criptomonedas. Recordemos que el phishing se trata de imitar páginas oficiales, como las de los bancos en este caso, para que sus víctimas copien sus credenciales o instalen el malware; mientras que el keylogger es una especie de programa que detecta las pulsaciones de las teclas y el mouse, además de reunir la información guardada en el computador para hacerse con todas las credenciales que encuentre.

Este malware en particular se esparce vía correo electrónico gracias principalmente a bots (programas automatizados) en Estados Unidos y Singapur, donde se difunden largas tiradas con el mismo mensaje falso que emula notificaciones sobre transferencias bancarias. En el reporte se indica que copian los logos de varios bancos, pero sólo se mencionan el Emirates NDB (que opera en Emiratos Árabes Unidos) y el DBS (en Singapur y alrededores). Esto implica, por supuesto, que las víctimas directas son originarias de estos países, pero no excluye la posibilidad de que otros lugares se vean afectados con su propia versión del banco local.

El correo incluye un archivo adjunto donde se les indica a las víctimas que la notificación se encuentra adjunta en formato PDF, pero en realidad este un archivo ejecutable con doble extensión, nombrado con algunas variantes de SWIFT, la red interbancaria (como (Swift_Copy.Pdf.exe). Una vez que se abre, el malware descarga el archivo que se ejecuta e instala una aplicación llamada “filename.vbs” en la carpeta de inicio de Windows (AppData\Local\Temp\subfolder) antes de borrarse automáticamente. Esa nueva aplicación es el keylogger, que buscará los registros de contraseñas y datos varios en las cookies, el historial y el caché de distintos software, centrándose especialmente en los navegadores web. De esta forma, si se tiene grabado el usuario y contraseña en el sitio web del banco, puede incluso llegar a entrar a tu cuenta bancaria y vaciarla antes de que lo notes.

Pero eso no es todo, porque el Filename no sólo busca esos datos, sino también  diversas carteras de criptomonedas a las cuales extraer los fondos. Entre ellas, Cyren menciona, además de Bitcoin, la Anoncoin, BBQcoin, Bytecoin, Craftcoin, Devcoin, Digitalcoin, Fastcoin, Feathercoin, Florincoin, Freicoin, I0coin, Infinitecoin, Ixcoin, Junkcoin, Litecoin, Luckycoin, Megacoin, Mincoin, Namecoin, Phoenixcoin, Primecoin, Quarkcoin, Tagcoin, Terracoin, Worldcoin, Yacoin y Zetacoin. Sin embargo, parece que estas no son todas las opciones posibles, así que otros activos también podrían estar en riesgo.

Ya el mes pasado la compañía Cisco advertía que el phishing destinado a robar las credenciales a carteras online aumentaría junto al precio de Bitcoin, y aunque este último ha sufrido numerosas fluctuaciones durante esta primera parte del año, parece que continúa su ascenso y por tanto también la advertencia de Cisco. Por ello debemos estar muy atentos, sobre todo ante los correos que recibimos: el phishing no es ni mucho menos perfecto, siempre hay algo fuera de lugar que nos indica que se trata de un virus. A la más mínima sospecha, lo mejor es no abrir ningún enlace o archivo adjunto y en caso de caer víctima, comunicarse con las autoridades y con el banco inmediatamente.