Seis herramientas utilizadas por los piratas informáticos para robar criptomonedas: cómo proteger monederos

A principios de julio, se informó que Bleeping Computer detectó actividad sospechosa destinada a defraudar a 2,3 millones de monederos Bitcoin, que encontraron bajo amenaza de ser pirateadas. Los atacantes usaron malware —conocido como "secuestradores del portapapeles"— que funciona en el portapapeles y potencialmente puede reemplazar la dirección del monedero copiado con una de los atacantes.

La amenaza de ataques de pirateo de este tipo ha sido predicha por Kaspersky Lab ya en noviembre del año pasado, y no tardaron en convertirse en realidad. Por el momento, este es uno de los tipos de ataques más extendidos que tiene como objetivo robar información o dinero de los usuarios, y la proporción estimada de ataques a cuentas y carteras individuales es aproximadamente el 20% del número total de ataques de malware. Y hay más. El 12 de julio, Cointelegraph publicó el informe de Kaspersky Lab, que establecía que los delincuentes pudieron robar más de $9 millones en Ethereum (ETH) a través de esquemas de ingeniería social durante el año pasado.

 Carbon Black

Fuente de la imagen: Carbon Black

Brevemente sobre el problema

El ya mencionado portal Bleeping Computer, que trabaja para mejorar la alfabetización informática, escribe sobre la importancia de seguir al menos algunas reglas básicas para garantizar un nivel suficiente de protección:

"La mayoría de los problemas de soporte técnico no radican en la computadora, sino en el hecho de que el usuario no conoce los 'conceptos básicos' que subyacen a todos los problemas de la informática. Estos conceptos incluyen hardware, archivos y carpetas, sistemas operativos, internet y aplicaciones".

El mismo punto de vista es compartido por muchos expertos en criptomonedas. Uno de ellos, Ouriel Ohayon —inversor y emprendedor— hace hincapié en la responsabilidad personal de los usuarios en un blog dedicado a Hackernoon:

"Sí, usted tiene el control de sus propios activos, pero el precio a pagar es que está a cargo de su propia seguridad. Y como la mayoría de las personas no son expertos en seguridad, a menudo están expuestos, sin saberlo. Siempre estoy sorprendido de ver a mi alrededor cuántas personas, incluso conocedoras de la tecnología, no toman medidas básicas de seguridad".

Según Lex Sokolin —director de estrategia de Fintech en Autonomous Research— cada año, miles de personas se convierten en víctimas de sitios clonados y de phishing ordinario, enviando voluntariamente a los estafadores $200 millones en criptomonedas, que nunca se devuelve.

¿Qué podría decirnos eso? Los hackers que están atacando los criptomonederos usan la principal vulnerabilidad en el sistema: la falta de atención humana y la arrogancia. Veamos cómo lo hacen y cómo uno puede proteger sus fondos.

250 millones de víctimas potenciales

Un estudio realizado por la compañía estadounidense Foley & Lardner mostró que el 71 por ciento de los grandes comerciantes e inversores de criptomonedas atribuyen el robo de criptomonedas al mayor riesgo que afecta negativamente al mercado. El 31 por ciento de los encuestados califica de muy alta la amenaza de actividad de los piratas informáticos para la industria global de criptomonedas.

Foley & Lardner

Fuente de la imagen: Foley & Lardner

Los expertos de Hackernoon analizaron los datos sobre los ataques de pirateo para el 2017, que se pueden dividir condicionalmente en tres grandes segmentos:

- Ataques a las blockchains, bolsas de criptomonedas e ICOs;

- Distribución de software para minería oculta;

- Ataques dirigidos a los monederos de los usuarios.

Sorprendentemente, el artículo "Smart Hacking Tricks" publicado por Hackernoon no parece tener gran popularidad y las advertencias que parecen ser obvias para un usuario de criptomoneda ordinario deben repetirse una y otra vez, ya que se espera que el número de titulares de criptomonedas llegará a 200 millones para el 2024, de acuerdo con RT.

Según una investigación realizada por ING Bank NV e Ipsos —que no consideró Asia oriental en el estudio— alrededor del nueve por ciento de los europeos y el ocho por ciento de los residentes estadounidenses poseen criptomonedas, y el 25 por ciento de la población planea comprar activos digitales en el futuro cercano . Por lo tanto, casi un cuarto de mil millones de víctimas potenciales podrían caer pronto en el campo de la piratería.

Aplicaciones en Google Play y App Store

Consejos:

- No te dejes llevar por la instalación de aplicaciones móviles sin mucha necesidad;

- Añadir la identificación de autorización de dos factores a todas las aplicaciones en el teléfono inteligente.

- Asegúrate de verificar los enlaces a las aplicaciones en el sitio oficial del proyecto.

Las víctimas de piratería son, con mayor frecuencia, propietarios de teléfonos inteligentes con sistema operativo Android, que no usa Autenticación de dos factores (2FA) —esto requiere no solo una contraseña y nombre de usuario, sino también algo que el usuario tenga sobre ellos, es decir, un elemento de información podría saber o tener a mano inmediatamente, como una ficha física. El problema es que el sistema operativo abierto de Google Android lo hace más abierto a los virus y, por lo tanto, menos seguro que el iPhone, según Forbes. Los hackers agregan aplicaciones en nombre de ciertos recursos de criptomonedas a Google Play Store. Cuando se inicia la aplicación, el usuario ingresa datos confidenciales para acceder a sus cuentas y, por lo tanto, le da acceso a los piratas informáticos.

Uno de los objetivos más famosos de ataques de piratería de este tipo fueron los comerciantes de la bolsa de criptomonedas estadounidense Poloniex, que descargó aplicaciones móviles publicadas por piratas informáticos en Google Play, pretendiendo ser una puerta de enlace móvil para la popular bolsa de criptomonedas. El equipo de Poloniex no desarrolló aplicaciones para Android, y su sitio no tiene enlaces a ninguna aplicación móvil. Según Lukas Stefanko, un analista de malware de ESET, 5 500 operadores se habían visto afectados por el malware antes de que el software fuera eliminado de Google Play.

Los usuarios de dispositivos iOS, a su vez, con mayor frecuencia descargan aplicaciones de App Store con mineros ocultos. Apple incluso se vio forzada a ajustar las reglas para la admisión de aplicaciones a su tienda con el fin de suspender de algún modo la distribución de dicho software. Pero esta es una historia completamente diferente, cuyo daño es incomparable con la piratería de monederos, ya que el minero solo ralentiza la operación de la computadora.

Bots Slacks

Consejos:

- Reporta los Slack-bots para bloquearlos;

- Ignore la actividad de los bots;

- Protege el canal Slack, por ejemplo, con los bots de seguridad Metacert o Webroot, el software antivirus Avira o incluso la función de navegación segura incorporada de Google.

Desde mediados del 2017, los bots Slack destinados a robar criptomonedas se han convertido en el flagelo del mensajero corporativo de más rápido crecimiento. Más a menudo, los hackers crean un bot que notifica a los usuarios sobre problemas con sus criptos. El objetivo es obligar a una persona a hacer clic en el enlace e ingresar una clave privada. Con la misma velocidad con la que aparecen esos robots, los usuarios los bloquean. Aunque la comunidad generalmente reacciona rápidamente y el hacker tiene que retirarse, este último logra ganar algo de dinero.

Steemit @sassal

Fuente de la imagen: Steemit @sassal

El mayor ataque exitoso de hackers a través de Slack se considera el hack del grupo Enigma. Los atacantes utilizaron el nombre de Enigma —que estaba organizando su ronda de preventa— para lanzar un bot de Slack, y terminaron estafando un total de $500 000 en Ethereum de usuarios crédulos.

Add-ons para el criptocomercio

Consejos:

- Utiliza un navegador por separado para las operaciones con criptomonedas;

- Selecciona un modo de incógnito;

- No descargues ningún complemento criptográfico;

- Obtén una PC o un teléfono inteligente por separado solo para el criptocomercio;

- Descarga un antivirus e instala protección de red.

Los navegadores de Internet ofrecen extensiones para personalizar la interfaz de usuario para un trabajo más cómodo con las criptobolsas y monederos. Y el problema no es que incluso los complementos lean todo lo que estás escribiendo mientras usas Internet, sino que las extensiones se desarrollan en JavaScript, lo que los hace extremadamente vulnerables a los ataques de pirateo. La razón es que, en los últimos tiempos —con la popularidad de la Web 2.0, Ajax y las aplicaciones ricas de Internet— JavaScript y sus vulnerabilidades concomitantes se han vuelto altamente prevalentes en las organizaciones, especialmente en las de la India. Además, muchas extensiones podrían usarse para la minería oculta, debido a los recursos informáticos del usuario.

Autenticación por SMS

Consejos:

- Desactiva el reenvío de llamadas para imposibilitar el acceso de un atacante a tus datos;

- Renuncia a la 2FA a través de SMS cuando la contraseña se envía en el texto, y utiliza una solución de software de identificación de dos factores.

Muchos usuarios optan por utilizar la autenticación móvil porque están acostumbrados a hacerlo, y el teléfono inteligente siempre está disponible. Positive Technologies, una compañía que se especializa en ciberseguridad, ha demostrado lo fácil que es interceptar un SMS con una contraseña de confirmación, transmitida prácticamente en todo el mundo por el protocolo Signaling System 7 (SS7). Los especialistas pudieron secuestrar los mensajes de texto usando su propia herramienta de investigación, que explota las debilidades en la red celular para interceptar mensajes de texto en tránsito. Se llevó a cabo una demostración usando el ejemplo de las cuentas de Coinbase, lo que sorprendió a los usuarios de la criptobolsa. A simple vista, esto parece una vulnerabilidad de Coinbase, pero la debilidad real está en el sistema celular en sí, afirmaron Positive Technologies. Esto demostró que se puede acceder a cualquier sistema directamente a través de SMS, incluso si se usa 2FA.

Wi-Fi pública

Consejos:

- Nunca realices criptotransacciones a través de Wi-Fi público, incluso si está utilizando una VPN;

- Regularmente actualiza el firmware de su propio enrutador, ya que los fabricantes de hardware están lanzando constantemente actualizaciones destinadas a proteger contra la sustitución de claves.

En octubre del año pasado, en el protocolo Wi-Fi Protected Access (WPA) —que usa enrutadores— se encontró una vulnerabilidad irrecuperable. Después de llevar a cabo un ataque KRACK elemental (un ataque con la reinstalación de la clave), el dispositivo del usuario se vuelve a conectar a la misma red Wi-Fi de piratas informáticos. Toda la información descargada o enviada a través de la red por un usuario está disponible para los atacantes, incluidas las claves privadas de los criptomonederos. Este problema es especialmente urgente para las redes públicas de Wi-Fi en las estaciones de ferrocarril, aeropuertos, hoteles y lugares donde visitan grandes grupos de personas.

Sitios-clones y phishing

Consejos:

- Nunca interactúes con sitios relacionados con criptomonedas sin protocolo HTPPS;

- Cuando uses Chrome, personaliza la extensión, por ejemplo, Cryptonite, que muestra las direcciones de los submenús.

- Cuando recibas mensajes de cualquier recurso relacionado con la criptomoneda, copia el enlace en el campo de la dirección del navegador y compárelo con la dirección del sitio original;

- Si algo parece sospechoso, cierre la ventana y elimine la carta de su bandeja de entrada.

Estos buenos viejos métodos de pirateo se conocen desde la "revolución de las puntocom", pero parece que todavía funcionan. En el primer caso, los atacantes crean copias completas de los sitios originales en dominios que están desactivados por una sola letra. El objetivo de tal truco —incluida la sustitución de la dirección en el campo de dirección del navegador— es atraer a un usuario al clon del sitio y forzarlo a ingresar la contraseña o una clave secreta de la cuenta. En el segundo caso, envían un correo electrónico que —por diseño— copia idénticamente las letras del proyecto oficial, pero —de hecho— tiene como objetivo obligarte a hacer clic en el enlace e ingresar sus datos personales. Según Chainalysis, los estafadores que utilizan este método ya han robado $225 millones en criptomonedas.

Cryptojacking, minería oculta y sentido común

La buena noticia es que los piratas informáticos están perdiendo gradualmente el interés en los ataques brutales a los monederos debido a la creciente oposición de los servicios de criptomonedas y al creciente nivel de conocimiento de los usuarios mismos. El foco de los piratas informáticos ahora es la minería oculta.

Según McAfee Labs, en el primer trimestre del 2018, se registraron en todo el mundo 2,9 millones de muestras de software antivirus para minería oculta. Esto es un 625 por ciento más que en el último trimestre del 2017. El método se llama "cryptojacking" y ha fascinado a los hackers con su simplicidad de tal manera que tomaron su implementación masivamente, abandonando los programas de extorsión tradicionales.

La mala noticia es que la actividad de piratería no ha disminuido en lo más mínimo. Los expertos de la compañía Carbon Black —que trabaja con ciberseguridad— revelaron que, a partir de julio del 2018, hay aproximadamente 12 000 plataformas de negociación en la web oscura que venden alrededor de 34 000 ofertas para hackers. El precio promedio del software de ataque malicioso vendido en dicha plataforma es de aproximadamente $224.

Carbon Black

Fuente de la imagen: Carbon Black

¿Pero cómo llega a nuestras computadoras? Volvamos a las noticias con las que comenzamos. El 27 de junio, los usuarios comenzaron a dejar comentarios en el foro de Malwarebytes sobre un programa llamado All-Radio 4.27 Portable que se estaba instalando sin saberlo en sus dispositivos. La situación se complicó por la imposibilidad de su eliminación. Aunque, en su forma original, este software parece ser un visor de contenido inocuo y popular, su versión fue modificada por los hackers para convertirse en una "maleta" de sorpresas desagradables.

Por supuesto, el paquete contiene un minero oculto, pero solo ralentiza la computadora. En cuanto al programa para monitorear el portapapeles, reemplaza las direcciones cuando el usuario copia y pega la contraseña, y ha estado recolectando 2 343 286 monederos Bitcoin de víctimas potenciales. Esta es la primera vez que los piratas informáticos demuestran una base de datos tan grande de propietarios de criptomonedas —hasta ahora, dichos programas contienen un conjunto muy limitado de direcciones para la sustitución.

Después de reemplazar los datos, el usuario transfiere fondos voluntariamente a la dirección del monedero del atacante. La única forma de proteger los fondos contra esto es mediante una doble verificación de la dirección ingresada al visitar el sitio web, que no es muy agradable, pero confiable y podría convertirse en un hábito útil.

Después de interrogar a las víctimas de All-Radio 4.27 Portable, se descubrió que el software malicioso ingresaba en sus computadoras como resultado de acciones irrazonables. Como descubrieron los expertos de Malwarebytes y Bleeping Computer, las personas usaron grietas de programas y juegos con licencia, así como activadores de Windows como KMSpico, por ejemplo. Por lo tanto, los piratas informáticos han elegido como víctimas a aquellos que conscientemente violaron los derechos de autor y las reglas de seguridad.

Conocido experto en malware Mac Patrick Wardle a menudo escribe en su blog que muchos virus dirigidos a usuarios comunes son infinitamente estúpidos. Es igualmente tonto convertirse en una víctima de tales ataques de pirateo. Por lo tanto, en conclusión, nos gustaría recordarle el consejo de Bryan Wallace, asesor de Google Small Business:

"El cifrado, el software antivirus y la identificación de múltiples factores solo mantendrán sus activos a salvo hasta cierto punto; su clave son las medidas preventivas y el simple sentido común".