Los investigadores de seguridad cibernética han descubierto un malware que ha durado un año circulando que se ha dirigido a los usuarios de criptomonedas con la creación de una serie de aplicaciones falsas.

La empresa de seguridad Intezer Labs advirtió que el aumento del precio de las criptomonedas ha creado una mayor actividad entre los hackers y los actores maliciosos que buscan ganancias financieras. El malware se ha difundido durante el último año, pero solo se descubrió en diciembre de 2020.

El nuevo troyano de acceso remoto (RAT), apodado ElectroRAT, ha sido utilizado para vaciar los monederos de criptomonedas de miles de usuarios de Windows, MacOS y Linux, añadió el informe.

Tres aplicaciones relacionadas con criptomonedas utilizadas en el ataque: Jamm, eTrade/Kintum, y DaoPoker, fueron todas introducidas en sus propios sitios web. Las dos primeras son aplicaciones falsas de comercio de criptomonedas mientras que la tercera está basada en apuestas.

El malware ElectroRAT oculta dentro de estas aplicaciones, es extremadamente intrusivo según los investigadores;

“Tiene varias capacidades como el registro de teclas, la toma de capturas de pantalla, la carga de archivos desde el disco, la descarga de archivos, y la ejecución de comandos en la consola de la víctima.”

Después de ser lanzadas en la computadora de la víctima, las aplicaciones muestran una interfaz de usuario en primer plano diseñada para desviar la atención de los procesos maliciosos en segundo plano. Las aplicaciones se promocionaron utilizando las plataformas de medios sociales Twitter y Telegram, además de foros basados en criptomonedas, como Bitcointalk.

Intezer Labs estimó que ya ha infectado a "miles de víctimas" a las que se les ha vaciado sus monederos de criptomonedas. Añadió que había pruebas de que algunas de las víctimas que se vieron comprometidas por las aplicaciones estaban usando monederos de criptomonedas populares como MetaMask.

El malware ha sido escrito en un lenguaje de programación multiplataforma llamado Golang, lo que lo hace más difícil de detectar. La empresa de seguridad declaró que era poco común ver una RAT diseñada para robar información personal de los usuarios de criptomonedas que fue escrita desde cero, añadiendo;

“Es aún más raro ver una campaña tan amplia y dirigida que incluya varios componentes como aplicaciones y sitios web falsos, y esfuerzos de comercialización/promoción a través de foros y redes sociales pertinentes.”

Ha habido varios casos en 2020 en los que versiones falsas de aplicaciones y extensiones de navegadores legítimos como MetaMask o Ledger se han abierto camino en los ordenadores de las víctimas. Esto puede estar relacionado con la masiva violación de datos de Ledger a mediados de diciembre.

En septiembre de 2020, los usuarios de Coinbase se encontraban entre las víctimas de un nuevo malware basado en Android difundido a través de la Google Play Store.

Sigue leyendo: