Aplicación CoinTicker de seguimiento de precio de criptos instala puertas traseras para controlar ordenador central: Informe

 

Las publicaciones de ciberseguridad estaban dando la alarma sobre malware de criptomonedas de nuevo el lunes 29 de octubre después de que un usuario del foro de Malwarebytes informara que una aplicación de monitorización de precios para macOS era un troyano.

Confirmado en un post de blog por el desarrollador de software de ciberseguridad, el miembro de la comunidad 1vladimir reportó un comportamiento sospechoso por una aplicación llamada CoinTicker durante el fin de semana.

La aplicación permite a los usuarios realizar un seguimiento de los precios en criptomonedas desde la barra de herramientas de Mac, que se actualiza automáticamente.

"Aunque esta funcionalidad parece ser legítima, la aplicación en realidad no es buena en segundo plano, sin que el usuario lo sepa", explica el artículo de Malwarebytes en el blog, y añade:

“Sin ningún signo de problemas, como peticiones de autenticación, no hay nada que sugiera al usuario que algo está mal.”

Después de una inspección posterior, se hizo evidente que CoinTicker contenía un script que descargaba dos puertas traseras en la máquina anfitriona, lo que permitía que un grupo remoto tomara el control de la misma.

El repositorio Github desde el que el malware CoinTicker descargó las puertas traseras ha sido eliminado, mientras tanto, la revista tecnológica Bleeping Computer destaca.

En su propio análisis, la publicación sugiere que la aplicación podría haber sido desarrollada exclusivamente para distribuir el troyano.

Aunque se desconoce cuántos equipos ha infectado el malware en los pocos días transcurridos desde su descubrimiento, el episodio es un recordatorio más de la voracidad de los atacantes que se dirigen a los inversores en criptomonedas.

Como Cointelegraph ha informado con frecuencia, el malware sigue apareciendo, a menudo en forma de scripts ocultos de criptominería o incluso de esquemas que vacían carteras móviles u otros monederos calientes.

A principios de este mes, Google optó por eliminar todas las extensiones con el llamado código ofuscado (una característica que oculta su propósito) de su tienda web en un esfuerzo por combatir el problema.