-
El instalador malicioso es una versiรณn pirata de uno ya existente en el mercado.
-
La empresa que descubriรณ la falla recomienda utilizar licencias oficiales.
La compaรฑรญa Red Canary, especialista en auditorรญas de seguridad informรกtica, ha publicado una reciente investigaciรณn en la que demuestra como la utilizaciรณn de activadores de Windows piratas, podrรญan vulnerar la seguridad de las carteras de bitcoin (BTC) y criptomonedas en computadoras con este sistema operativo.
La investigaciรณn vio la luz el pasado 2 de diciembre, de la mano con el especialista en detecciรณn e investigaciรณn de malware, Tony Lambert, quien trabaja para Red Canary. En ella se detalla como KMSpico, un software utilizado para instalar claves de licencias ilegales en Windows y Office, ahora cuenta con una versiรณn pirata de sรญ mismo. Esta permite robar informaciรณn de los usuarios incluyendo las semillas de recuperaciรณn de sus carteras de bitcoin y criptomonedas.
Segรบn la investigaciรณn, el software malicioso no se diferencia del original en una bรบsqueda en Google. Vale recordar, de todos modos, que el ยซoriginalยป se trata de un software que instala versiones ilegales de licencias para Windows. Debido a que es utilizado para una actividad ilegal es que no cuenta con ningรบn tipo de verificaciรณn.
un activador de otro. Fuente: Google/Red canary.
Cรณmo funciona este malware que roba bitcoins
Para utilizar KMSpico, el ยซoriginalยป, es necesario la desactivacion de todo programa de protecciรณn contra virus, ya que este software es marcado como potencialmente peligroso. Una vez desinstalado el antivirus no lo detecta. Lo mismo ocurre con la versiรณn pirata. Esta podrรก instalar los malware sin tan siquiera ser vistos.
Este tipo de estrategias ya se ha visto anteriormente, segรบn lo reportรณ CriptoNoticias. En abril pasado, unos hackers crearon sitios web maliciosos que ofrecรญan descargar complementos para Windows, como lo es Direct x12, pero en lugar de ellos instalaban malware.
El funcionamiento de Cryptobot y CypherIT, nombres de los malware, es el registrar la actividad de ciertas aplicaciones. Cuando entran en funcionamiento, se instala un registro en lรญnea que comparte con el atacante toda la actividad que la vรญctima realice. Si el usuario revela, en cierto momento, la semilla de recuperaciรณn, el atacante podrรก tomarla y consecuentemente robar las criptomonedas.
Segรบn la investigaciรณn, tal parece que, siempre y cuando la semilla no sea revelada, los fondos no podrรกn movilizarse. Sin embargo, esto no es garantรญa de que el atacante no encuentre la manera de hacerse con las llaves privadas.
En un listado mostrado en la investigaciรณn, carteras de escritorio como Exodus, Jaxx Liberty, Electrum y Coinomi demostraron ser susceptibles a esta vulnerabilidad. En caso de wallets de exploradores Web, por ejemplo, MetaMask, tambiรฉn fue vulnerada por el software malicioso. Incluso Ledger Live, que es la suite que se utilizada para las hardware wallets de la empresa Ledger, presentรณ la posibilidad de verse comprometida.
Quรฉ hacer en caso de infecciรณn
En caso de usuarios con conocimientos tรฉcnicos, la investigaciรณn recomienda utilizar los comandos en CMD: findstr /V /R ยซ^ โฆ $, que permiten escanear si existe algรบn fichero instalado en el computador que este compartiendo informaciรณn a un medio externo.
Para evitar estos escenarios, la firma recomienda utilizar siempre licencias originales de Windows. Red Canary cita que existen departamentos de tecnologรญa que no cuentan con un solo PC con licencia original, lo que hace que este tipo de vulnerabilidades puedan convertirse en situaciones crรญticas.
