Bitdefender ha detectado que durante los últimos tres años se han estado robado datos y criptomonedas de las billeteras de Monero mediante la instalación de un potente malware a través de los cracks de diversas aplicaciones, entre las que aparecen Microsoft Office y Adobe Photoshop CC.
Según Bogdan Botezatu, director de Investigación e Informes de Amenzas en Bitdefender, “los cracks existen desde la aparición del software comercial. Son pequeñas aplicaciones, fáciles de usar, que están disponibles en sitios web especializados. Su instalación permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta actividad, además de implicaciones legales por el uso de software sin autorización del propietario, presenta también graves riesgos de seguridad”.
El origen de este anuncio está en el descubrimiento reciente por parte de los analistas de Bitdefender de una serie de ataques que aprovechan los cracks de herramientas ofimáticas y de edición de imágenes para instalar un malware de puerta trasera que consigue comprometer PCs, robar carteras de criptomonedas y exfiltrar datos a través de la red TOR. En esta investigación llevada a cabo a nivel global, España aparece como el octavo país más afectado por esta práctica, acaparando un 3,2% de las víctimas totales. Los países más perjudicados son EE.UU. (11,9%) e India (11,6%).
Más concretamente, en esta investigación se demuestra cómo:
• Se instala un malware de puerta trasera mediante el que el ciberdelincuente consigue el control total del dispositivo, por lo que puede robar contraseñas, archivos locales, PINs o cualquier otra credencial.
• Es posible robar billeteras de Monero. Si el atacante identifica una cartera de Monero almacenada en el dispositivo, podrá robarla, junto con todas sus criptomonedas.
• Los perfiles del navegador Firefox pueden ser pirateados, lo que permite hacerse con contraseñas de inicio de sesión almacenadas, historial de navegación, marcadores y cookies de sesión. Con respecto a estas últimas, Bitdefender recuerda que a través de las cookies de sesión es posible acceder a distintos servicios sin necesidad de contraseñas o de autenticaciones de doble factor (2FA).
• Este tipo de ataque está activo desde la segunda mitad de 2018.
Los investigadores de Bitdefender explican que una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta legítima para enviar datos sin procesar a través de la red), así como un proxy TOR. Además, se coloca también en el disco un archivo batch que contiene la línea de comandos para el componente Ncat y que recorre los puertos 8000 a 9000 sobre un dominio .onion. Estas herramientas trabajan juntas para crear una puerta trasera que se comunica con el centro de comando y control a través de TOR. El crack crea mecanismos de persistencia para el archivo proxy TOR y el binario Ncat en la máquina con un servicio y una tarea programada que se ejecuta cada 45 minutos, respectivamente. La investigación llevada a cabo por Bitdefender revela que, con toda probabilidad, no se envían solicitudes a las víctimas de forma automatizada, sino que la puerta trasera es utilizada de forma interactiva por un operador humano.
Algunas de las acciones que se observan son:
- Exfiltración de archivos. Ncat puede recibir archivos locales para enviarlos a través de TOR a los centros de comando y control.
- Ejecución del cliente BitTorrent. Es probable que los atacantes utilicen clientes BitTorrent para exfiltrar datos.
- Apagado del firewall en preparación para la exfiltración de datos.
- Robo de los datos del perfil del navegador Firefox (historial, credenciales y cookies de sesión). Antes de la exfiltración, los atacantes archivan la carpeta del perfil con 7zip para generar un archivo que contenga todo.
- Robo de billeteras Monero a través del cliente CLI legítimo ‘monero-wallet-cli.exe’.
Esta lista de acciones no es exhaustiva, ya que los atacantes consiguen un control total del sistema y pueden adaptar las campañas en función de sus intereses puntuales.