Actores maliciosos están intentando robar criptomonedas con malware incrustado en extensiones falsas de Microsoft Office subidas al sitio de alojamiento de software SourceForge, según la firma de ciberseguridad Kaspersky.
Una de las listas maliciosas, llamada "officepackage", contiene complementos reales de Microsoft Office, pero oculta un malware llamado ClipBanker que reemplaza una dirección de billetera cripto copiada en el portapapeles de una computadora con la dirección del atacante, según informó el equipo de Investigación Antimalware de Kaspersky en un informe del 8 de abril.
"Los usuarios de billeteras cripto normalmente copian direcciones en lugar de escribirlas. Si el dispositivo está infectado con ClipBanker, el dinero de la víctima terminará en un lugar completamente inesperado", dijo el equipo.
La página del proyecto falso en SourceForge imita una página legítima de herramientas para desarrolladores, mostrando los complementos de Office y botones de descarga, y también puede aparecer en los resultados de búsqueda.
Kaspersky afirma haber encontrado un malware de robo de criptomonedas en el sitio web de alojamiento de software, SourceForge. Fuente: Kaspersky
Kaspersky indicó que otra característica de la cadena de infección del malware implica enviar información de dispositivos infectados, como direcciones IP, país y nombres de usuario, a los hackers a través de Telegram.
El malware también puede escanear el sistema infectado en busca de señales de que ya haya sido instalado previamente o de software antivirus y eliminarse a sí mismo.
Los atacantes podrían vender el acceso al sistema a otros
Kaspersky señala que algunos de los archivos en la descarga falsa son pequeños, lo que levanta "banderas rojas, dado que las aplicaciones de Office nunca son tan pequeñas, incluso cuando están comprimidas".
Otros archivos están rellenos de datos basura para convencer a los usuarios de que están viendo un instalador de software genuino.
La firma dijo que los atacantes aseguran el acceso a un sistema infectado "a través de múltiples métodos, incluidos algunos no convencionales".
"Aunque el ataque se dirige principalmente a las criptomonedas mediante la implementación de un minero y ClipBanker, los atacantes podrían vender el acceso al sistema a actores más peligrosos".
La interfaz está en ruso, lo que Kaspersky especula que podría significar que se dirige a usuarios de habla rusa.
"Nuestra telemetría indica que el 90% de las víctimas potenciales están en Rusia, donde 4.604 usuarios se encontraron con el esquema entre principios de enero y finales de marzo", afirmó el informe.
Para evitar ser víctima, Kaspersky recomendó descargar software únicamente de fuentes confiables, pues los programas pirateados y las opciones de descarga alternativas conllevan mayores riesgos.
"Distribuir malware disfrazado de software pirateado no es nada nuevo", dijo la compañía. "A medida que los usuarios buscan formas de descargar aplicaciones fuera de las fuentes oficiales, los atacantes ofrecen las suyas. Siguen buscando nuevas formas de hacer que sus sitios web parezcan legítimos".
Otras firmas también han estado alertando sobre nuevas formas de malware dirigidas a usuarios de criptomonedas.
Threat Fabric dijo en un informe del 28 de marzo que encontró una nueva familia de malware que puede lanzar una superposición falsa para engañar a los usuarios de Android y hacer que proporcionen sus frases semilla de criptomonedas mientras toma control del dispositivo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
