En la industria de las criptomonedas en rápido crecimiento, la adopción generalizada de las criptomonedas ha atraído no sólo a usuarios legítimos sino también a ciberdelincuentes que buscan explotar vulnerabilidades. Hallazgos recientes de la firma de ciberseguridad Kaspersky arrojan luz sobre un sofisticado ataque de malware dirigido a usuarios de Macbook en el espacio criptográfico.
Recopilación de datos confidenciales de sistemas Mac infectados
Los expertos de Kaspersky Lab descubrieron que los atacantes reempaquetaron aplicaciones previamente crackeadas como archivos Package (PKG), un tipo de formato de archivo comúnmente utilizado en Macbooks, e incorporaron un proxy troyano y un script posterior a la instalación. Las aplicaciones cargadas de malware se distribuyeron principalmente a través de canales de software pirateados. Una vez que los usuarios intentaron instalar las aplicaciones descifradas, sin saberlo, desencadenaron el proceso de infección. Para engañar a los usuarios, el paquete de instalación infectado mostraba una ventana con instrucciones de instalación, indicándoles que copiaran la aplicación al directorio /Aplicaciones/ e iniciaran una aplicación llamada «Activador».
Ventana del activador y formulario de contraseña para apuntar a usuarios de criptografía. Fuente: Kaspersky Aunque a primera vista parecía poco sofisticado, Activator solicitaba a los usuarios que ingresaran una contraseña, otorgando efectivamente privilegios de administrador al malware. Tras la ejecución, el malware comprobó en el sistema una copia instalada del lenguaje de programación Python 3 y, si no estaba, instaló una versión previamente copiada de Python 3 desde el directorio del sistema operativo de Macbook. Luego, el malware «parchó» la aplicación descargada comparando el ejecutable modificado con una secuencia codificada dentro del Activador. Si se encontraba una coincidencia, el malware eliminaba los bytes iniciales, haciendo que la aplicación pareciera descifrada y funcional para el usuario. Sin embargo, las verdaderas intenciones de los atacantes se hicieron evidentes cuando el malware inició su carga útil principal. La muestra infectada estableció comunicación con un servidor de comando y control (C2) generando un localizador uniforme de recursos (URL) o dirección web único, a través de una combinación de palabras codificadas y un nombre de dominio aleatorio de tercer nivel. Este método permitió que el malware ocultara sus actividades dentro del tráfico normal del servidor DNS, asegurando la descarga de la carga útil. El script descifrado obtenido del servidor C2 (un servidor o infraestructura remoto utilizado por los ciberdelincuentes para controlar y gestionar sus operaciones de malware o botnet) reveló que el malware operaba ejecutando comandos arbitrarios recibidos del servidor. Estos comandos a menudo se entregaban como scripts de Python codificados en Base64. Además, el malware recopiló información confidencial del sistema infectado, incluida la versión del sistema operativo, directorios de usuarios, lista de aplicaciones instaladas, tipo de CPU y dirección IP externa. Luego, los datos recopilados se enviaron de regreso al servidor.
Campaña de malware apunta a aplicaciones de billetera criptográfica
Mientras analizaba la campaña de malware, Kaspersky observó que el servidor C2 no devolvió ningún comando durante su investigación y finalmente dejó de responder. Sin embargo, los intentos posteriores de descargar el script Python de la tercera etapa llevaron al descubrimiento de actualizaciones en los metadatos del script, lo que indica un desarrollo y adaptación continuos por parte de los operadores de malware. Además, el malware contenía funciones dirigidas específicamente a aplicaciones populares de billeteras criptográficas, como Exodus y Bitcoin-Qt. Si se detectaban estas aplicaciones en el sistema infectado, el malware intentaba reemplazarlas con versiones infectadas obtenidas de un host diferente, Apple-analyzer. [.]com. Estas billeteras criptográficas infectadas incluían mecanismos para robar contraseñas de desbloqueo de billeteras y frases secretas de recuperación de usuarios desprevenidos. La firma de ciberseguridad enfatizó que los actores maliciosos continúan distribuyendo aplicaciones crackeadas para obtener acceso a las computadoras de los usuarios. Al explotar la confianza del usuario durante la instalación del software, los atacantes pueden aumentar fácilmente sus privilegios solicitando a los usuarios que introduzcan sus contraseñas. Kaspersky también destacó las técnicas empleadas por la campaña de malware, como almacenar el script Python dentro de un registro TXT de dominio en un servidor DNS, lo que demuestra el «ingenio» de los atacantes.
La capitalización total del mercado de cifrado cayó por debajo de 1,5 billones de dólares en el gráfico diario. Fuente: TOTAL en TradingView.com Imagen destacada de Shutterstock, gráfico de TradingView.com
