La firma rusa ha explicado en un comunicado que en paralelo al auge de las criptomonedas en todo el mundo, crece el atractivo que estas tienen para los ciberdelincuentes. Los analistas de Kaspersky ya han observado un aumento en la actividad de la conocida como 'minería de Bitcoins', que ha afectado "a miles de ordenadores" y generado "cientos de miles de dólares" de beneficio para los delincuentes.
Los expertos también han notado que los cibercriminales están empezando a usar técnicas "menos avanzadas" y están gastando "menos tiempo y recursos". No obstante, ha alertado la compañía de ciberseguridad, los ladrones de criptomonedas están "poniendo en riesgo" los 'criptoahorros' de los usuarios.
Así, los analistas de Kaspersky Lab han descubierto un nuevo troyano, bautizado como CryptoShuffler, que ha sido diseñado para cambiar las direcciones de las carteras de criptomonedas de los usuarios en el portapapeles --un recurso de 'software' utilizado para el almacenamiento de datos a corto plazo-- del dispositivo infectado.
La empresa rusa ha indicado que los ataques de secuestro del portapapeles se conocen "desde hace años". Estos redirigen a los usuarios a sitios web maliciosos y se lanzan contra los sistemas de pagos 'online'. Sin embargo, ha matizado Kaspersky, los casos que implican una dirección de 'host' de criptomoneda "son raros".
En la mayoría de las criptomonedas, si el usuario desea transferirlas a otro usuario, necesita conocer la identificación de la cartera del destinatario, consistente un número único de varios dígitos. CryptoShuffler se aprovecha de esa necesidad del sistema de operar con estos números. Después de la inicialización, el troyano comienza a monitorizar el portapapeles del dispositivo utilizado por los usuarios al realizar un pago. Esto implica copiar los números de las carteras y pegarlas en la línea de "dirección de destino" del 'software' que se utiliza para llevar a cabo una transacción.
El troyano reemplaza la cartera del usuario por otra que pertenece al creador del 'malware', lo que significa que cuando el usuario pega la identificación de la cartera en la línea de destino, no es la dirección a la que originalmente intentaba enviar el dinero. Como resultado, la víctima transfiere su dinero directamente a los ciberdelincuentes, a menos que un usuario atento detecte el repentino reemplazo.
Pero esto no suele suceder, ya que los números de varios dígitos y las direcciones de las carteras en 'blockchain' son muy difíciles de recordar. Por lo tanto, es "difícil" identificar alguna característica distintiva en la línea de transacción, incluso si está directamente a la vista del usuario, ha explicado Kaspersky.
El cambio en el destino del portapapeles se realiza de forma instantánea. La mayoría de las carteras de criptomonedas tienen una ubicación similar en la línea de transacción y siempre usan una cierta cantidad de caracteres. Los intrusos pueden así crear fácilmente códigos regulares para reemplazarlos. Según se desprende del estudio, CryptoShuffler trabaja con "una amplia gama" de criptomonedas como Bitcoin, Ethereum, Zcash, Dash o Monero, entre otras.
ÉXITO EN LOS ATAQUES
Hasta ahora, y según las observaciones de los analistas de Kaspersky Lab, los ciberdelincuentes que están detrás de CryptoShuffler han tenido "éxito" en sus ataques contra carteras Bitcoin, pudiendo haber llegado a robar 23 unidades de la moneda, lo que actualmente equivale a unos 120.000 euros. Los importes totales en otras carteras varían desde unos pocos dólares hasta varios miles.
El analista de 'malware' de Kaspersky Lab Sergey Yunakovsky ha explicado que la criptomoneda se está convirtiendo en un "objetivo más atractivo" para los delincuentes. El portavoz de la empresa rusa ha reconocido un "aumento" en los ataques de 'malware' dirigidos a diferentes tipos de criptomonedas, y ha asegurado que esta tendencia "va a continuar". Así, ha recomendado a los usuarios de monedas virtuales que se aseguren de que cuentan "con la protección adecuada".
Los expertos de Kaspersky también han encontrado otro troyano que apunta a la criptomoneda Monero: DiscordiaMiner, que está diseñado para cargar y ejecutar archivos desde un servidor remoto. Según la investigación, hay algunas similitudes con el troyano NukeBot, descubierto a principios de este año. Al igual que en el caso de este último, los códigos fuente del troyano se han compartido en foros clandestinos de piratería informática.