Nueva campaña de malware difunde troyanos a través del sitio web clone

El usuario de Twitter e investigador de malware Fumik0_ ha descubierto un nuevo sitio web que difunde malware de criptomonedas, según un informe de Bleeping Computer del 5 de junio.

Según el informe, el anfitrión para la transmisión de estos virus es un sitio web que imita el sitio web de Cryptohopper, un sitio web donde los usuarios pueden programar herramientas para realizar operaciones de comercio automáticas de criptomonedas.

Cuando se visita el sitio scam, se informa de que descarga automáticamente un instalador setup.exe, que infectará el equipo una vez que se ejecute. El panel de configuración también mostrará el logotipo de Cryptohopper en otro intento de engañar al usuario.

Se dice que al ejecutar el instalador se instala el troyano Vidar de robo de información, que además instala dos troyanos Qulab para minería y secuestro de portapapeles. El clíper y los mineros se despliegan una vez por minuto para recoger datos de forma continua.

El propio troyano Vidar que roba información intentará obtener datos del usuario, como cookies del navegador, historial del navegador, información de pago del navegador, credenciales de inicio de sesión guardadas y billeteras de criptomonedas. La información se compila periódicamente y se envía a un servidor remoto, tras lo cual se elimina la compilación.

El secuestrador de portapapeles Qulab intentará sustituir sus propias direcciones en el portapapeles cuando reconozca que un usuario ha copiado una cadena que parece una dirección de billetera. Esto permite que las transacciones en criptomonedas iniciadas por el usuario sean redirigidas a la dirección del atacante.

Este secuestrador dispone de sustituciones de dirección para ether (ETH), bitcoin (BTC), bitcoin cash (BCH), dogecoin (DOGE), dash (DASH), litecoin (LTC), zcash (ZEC), bitcoin gold (BTG), xrp, y qtum.

Una billetera supuestamente asociada con el clipper ha recibido 33 BTC, o USD 258,335 en el momento de la publicación, a través de la dirección de sustitución '1FFRitFm5rP5oY5aeTeDikpQiWRz278L45', aunque es posible que no toda esta información provenga de la estafa de Cryptohopper.

Como se informó anteriormente en Cointelegraph, en mayo se descubrió una campaña de criptoestafa basada en YouTube, que atrajo a las víctimas con la promesa de un generador de BTC gratuito. Después de que los usuarios ejecutaran el supuesto generador de BTC, que se descargaba automáticamente visitando el sitio web asociado, se infectaron con un troyano Qulab. Entonces, el troyano Qulab intentaría robar información de usuario y ejecutar un secuestrador de portapapeles para criptodirecciones.

 

Sigue leyendo:

Estafa de 'Free Bitcoin' propagada en YouTube roba cripto a través de secuestro de portapapeles

Investigadores afirman que 50,000 servidores en todo el mundo están infectados con 'cryptojacking', el malware de monedas privadas

Aplicación que regala Bitcoin y Ether a usuarios es una estafa, advierte Malware Hunter

Estudio de Yandex demuestra el creciente interés de los kazajos en las criptomonedas

Informe: E*Trade se prepara para ofrecer operaciones en criptomonedas

España: Kubide busca a futuros unicornios del ecosistema blockchain y fintech