ThreatFabric, una empresa de seguridad cibernética con sede en Ámsterdam especializada en amenazas a la industria financiera, ha identificado el troyano "Cerberus" que roba los códigos de autenticación de dos factores (2FA) generados por la aplicación Google Authenticator para la banca por Internet, las cuentas de correo electrónico y los exchanges de criptomonedas.

Coinbase, el exchange de criptomonedas con sede en los Estados Unidos es una de las plataformas de criptomonedas que figuran en la exhaustiva lista de objetivos de Cerberus, que también incluye las principales instituciones financieras de todo el mundo y las aplicaciones de las redes de comunicación social. 

La empresa de seguridad cibernética señala que no ha identificado ningún anuncio en la red oscura (dark web) sobre las características actualizadas de Cerberus, lo que la lleva a creer que la versión actualizada "todavía está en fase de prueba pero podría salir pronto".

Cerberus se actualizó a principios de 2020

En el informe de ThreatFabric se afirma que el troyano de acceso remoto (RAT) "Cerbero" se identificó por primera vez a finales de junio, sustituyendo al troyano de Anubis y emergiendo como un importante producto de Malware como servicio.

El informe afirma que Cerberus fue actualizado a mediados de enero de 2020, y que la nueva versión introduce la capacidad de robar tokens 2FA del Autentificador de Google, así como códigos PIN de bloqueo de pantalla del dispositivo y patrones de deslizamiento.

Una vez instalado, Cerberus es capaz de descargar el contenido de un dispositivo, y establecer conexiones que proporcionan al actor malicioso un acceso remoto completo a través del dispositivo. La RAT puede ser utilizada entonces para operar cualquier aplicación en el dispositivo, incluyendo aplicaciones bancarias y las relacionadas con exchanges de criptomonedas.

"La función que permite el robo de las credenciales de bloqueo de la pantalla del dispositivo (PIN y patrón de bloqueo) se activa mediante una simple superposición que requerirá que la víctima desbloquee el dispositivo. De la implementación de la RAT podemos concluir que este robo de credenciales de bloqueo de pantalla se construyó para que los actores pudieran desbloquear el dispositivo a distancia para realizar el fraude cuando la víctima no está utilizando el dispositivo. Esto demuestra una vez más la creatividad de los criminales para construir las herramientas adecuadas para tener éxito".

Los troyanos bancarios se dirigen cada vez más a las aplicaciones de monederos para criptomonedas

El informe también examina otras dos RAT que saltaron a la fama después de Anubis:"Hydra" y "Gustaff".

Gustaff se dirige a los bancos australianos y canadienses, a los monederos de criptomoneda y a los sitios web gubernamentales, mientras que Hydra ha ampliado recientemente su alcance después de dirigirse principalmente a los bancos turcos y a los monederos blockchain.

Incluyendo a Cerberus, los tres troyanos apuntan a por lo menos 26 exchanges de criptomonedas y proveedores de custodia. Los objetivos incluyen varios líderes del sector de la criptomoneda, entre ellos Coinbase, Binance, Xapo, Wirex y Bitpay. 

Más de 20 de los objetivos son proveedores de monederos que ofrecen soporte para las principales criptomonedas, incluyendo Bitcoin (BTC), Ethereum (ETH), y Bitcoin Cash (BCH).

Una defensa potencial contra Cerberus es usar una clave de autenticación física para prevenir ataques remotos. Estas claves requieren que un hacker tenga el dispositivo real en su presencia, lo que ayuda a minimizar el riesgo de un ataque exitoso.

No dejes de leer: