-
El malware sustituye las direcciones de monederos de criptomonedas del usuario por unas propias.
-
Intenta capturar direcciones de Bitcoin, Litecoin, Ethereum, Monero y otras 23 criptomonedas.
Una investigaciรณn del equipo de Juniper Threat Labs, un portal de inteligencia de amenazas cibernรฉticas, revelรณ el descubrimiento de un virus espรญa que usa Telegram como canal de comunicaciรณn con su Centro de Comando y Control. Entre otras cosas, el malware es capaz de reemplazar automรกticamente direcciones de carteras de criptomonedas copiadas en el portapapeles, por las propias.
El informe, publicado por Juniper el jueves 26 de septiembre, indica que el spyware ademรกs roba informaciรณn confidencial de los dispositivos, como datos del navegador, nombres de usuario, contraseรฑas, informaciรณn de tarjeta de crรฉdito entre otros. El virus fue bautizado como โMasad Clipper & Stealerโ y estarรญa aprovechando las caracterรญsticas de Telegram, una aplicaciรณn de mensajerรญa legรญtima, para obtener cierto anonimato.
Los atacantes usan bots (programas automรกticos) de Telegram para recopilar los datos robados y enviar comandos a Masad. Segรบn los investigadores, el software malicioso se anuncia en foros de mercado negro como un malware estรกndar y se vende hasta por USD 85. Esto implica que podrรญa ser implementado por diversos actores, que no necesariamente son los autores del cรณdigo.
Los investigadores informaron que el Masad puede camuflarse en publicidad de foros, en sitios web de descarga de terceros o para compartir archivos. Ademรกs, se puede hacer pasar por una aplicaciรณn legรญtima o adjuntarse a herramientas de alguna aplicaciรณn de terceros. Uno de los disfraces del malware Masad Stealer es un bot de comercio de criptomonedas, denominado Tradebot_binance.exe.
Por otra parte, identificaron una versiรณn del virus que estรก en capacidad de descargar software adicional. En este caso se trata de aplicaciones de minerรญa oculta de criptomonedas.
Una vez instalado, el malware recopila toda la informaciรณn confidencial del dispositivo infectado, la comprime, y la envรญa al Centro de Comando y Control usando un identificador o token de bot codificado de Telegram. Entre la data que Masad roba tambiรฉn se encuentran los datos disponibles sobre carteras de criptomonedas, informaciรณn del sistema, software y procesos instalados, asรญ como los archivos de escritorio.
Sustituciรณn de direcciones de monedero
โEsteย malware incluye una funciรณn que reemplaza las direcciones de las carteras en el portapapeles, tan pronto como coincida con una configuraciรณn particularโ, explica el informe. En este caso, los investigadores encontraron que el virus busca sustituir por direcciones propias, las que coincidan con el formato usado por 27 diferentes criptomonedas. Ente ellas, se encuentran Monero, Bitcoin Cash, Litecoin, Neo, Zcash, Ethereum, y por supuesto Bitcoin, la mรกs fuerte del mercado.
Esta funcionalidad implica que una vรญctima de Masad podrรญa enviar sus criptomonedas a la direcciรณn del atacante en lugar del destinatario deseado, si, como es usual, copia la direcciรณn del monedero destino en el portapapeles. Segรบn el informe, uno de los monederos de bitcoin del malware detectado durante las pruebas, ya cuenta con mรกs de USD 9.000 en BTC, aunque se desconoce a ciencia cierta si la totalidad del monto proviene de los ataques.
Las pruebas se realizaron sobre mรกs de mil muestras del virus Masad Clipper & Stealer, que permitieron identificar 338 usuarios de Telegram. Los investigadores de Juniper Threat Labs creen que actualmente este malware representa una amenaza activa y continua.
