La firma de seguridad Kaspersky ha advertido sobre un nuevo malware dirigido a usuarios de criptomonedas a través del sitio web de alojamiento de software SourceForge. En una publicación reciente, la firma afirmó que el proyecto de software del sitio web, Office Package, contiene un malware de envenenamiento de direcciones dirigido a usuarios de criptomonedas.
Según el informe, el paquete de software de Office es un proyecto legítimo que contiene complementos de Microsoft Office. Sin embargo, una investigación más detallada revela más información sobre el paquete, ya que contiene enlaces de descarga que dirigen a una URL diferente.
Decía:
“Al proyecto bajo investigación se le ha asignado el dominio officepackage.sourceforge[.]io, pero la página que se muestra al acceder a ese dominio no se parece en nada a officepackage en sourceforge.net”
Curiosamente, el proceso de descarga de malware es bastante complejo, ya que los usuarios deben acceder a tres URL antes de poder descargar el archivo. Este complejo proceso parece formar parte de un plan para engañar a los usuarios haciéndoles creer que están descargando una aplicación auténtica.
Los expertos en seguridad de Kaspersky observaron que el archivo de instalación final es installer.msi, un archivo de 700 megabytes cuyo tamaño fue inflado por atacantes para que pareciera un instalador de software auténtico. Tras eliminar los bytes innecesarios, el tamaño real es de siete megabytes.
Al ejecutar el instalador, los usuarios instalan sin querer dos aplicaciones maliciosas en sus dispositivos: un minero y un ClipBanker. El ClipBanker permite el envenenamiento de direcciones al reemplazar las direcciones criptográficas copiadas en el portapapeles con las del atacante, lo que lleva a los usuarios a enviar fondos a direcciones incorrectas.
Los expertos en seguridad escribieron:
Las principales acciones maliciosas de esta campaña se reducen a la ejecución de dos scripts de AutoIt. Icon.dll reinicia el intérprete de AutoIt e inyecta un minero, mientras que Kape.dll hace lo mismo, pero inyecta ClipBanker
Mientras tanto, también señalaron que el ataque se centró principalmente en objetivos rusos. Prueba de ello es la interfaz rusa del sitio officepackage.sourceforge[.]io y el hecho de que el 90 % de los 4604 usuarios que se encontraron con el malware entre enero y finales de marzo son rusos.
Aumentan las estafas de envenenamiento de direcciones
El informe de Kaspersky coincide con el reciente aumento de ataques de envenenamiento de direcciones contra usuarios de criptomonedas, según informaron varias empresas de seguridad blockchain. Según datos de Scam Sniffer, el tercer mayordent de phishing en marzo se debió al envenenamiento de direcciones.
Cyvers también informó que las estafas de envenenamiento de direcciones causaron pérdidas de más de 1,2 millones de dólares en las primeras tres semanas de marzo, que se sumaron a los 1,8 millones de dólares de febrero. La empresa afirmó que su sistema de detección de amenazas con inteligencia artificial (IA)dentun aumento en los ataques de envenenamiento de direcciones.
Si bien la mayoría de los ataques de envenenamiento de direcciones son resultado de atacantes que envían manualmente pequeñas transacciones a las víctimas con direcciones similares a las que usan frecuentemente, el uso de malware sofisticado que permite a los atacantes cambiar direcciones desde el portapapeles muestra cómo los actores maliciosos continúan evolucionando.
Los expertos en seguridad creen que la principal solución a este problema es que los usuarios eviten descargar software de fuentes no confiables. Señalaron que los ciberdelincuentes suelen explotar sitios web de software no oficiales para distribuir aplicaciones maliciosas, y quienes usan dichos sitios web deben ser conscientes de este riesgo.
Sin embargo, señalaron que este malware presenta un problema aún mayor, ya que ofrece a los atacantes una forma ingeniosa de acceder a los sistemas infectados. Por lo tanto, existe la posibilidad de que sus creadores decidan usarlo para algo más que atacar a los usuarios de criptomonedas y comiencen a venderlo a actores maliciosos más peligrosos.
