DoubleFinger: malware que apunta a las criptobilleteras en América Latina

La estafa utiliza el loader DoubleFinger para descargar archivos maliciosos en el sistema infectado, el programa de robo GreetingGhoul.

Ciberataque con DoubleFinger
DoubleFinger: malware que apunta a las criptobilleteras. Foto: tomada de Freepik

En la actualidad, los delincuentes se han vuelto mucho más recursivos para realizar sus ciberataques, en el que ha descubierto una nueva y sofisticada operación dirigida a las billeteras de criptomonedas digitales.

Se trata de un ataque que ya está circulando activamente en Europa, Estados Unidos y América Latina.

El ataque opera en cinco etapas y logra robar hasta las criptomonedas almacenadas en una billetera de hardware, que en cierto modo es una billetera física o una billetera desconectada de Internet, y que son más seguras que las billeteras digitales comunes.

La estafa utiliza el loader DoubleFinger para descargar archivos maliciosos en el sistema infectado, el programa de robo de criptomonedas GreetingGhoul, y el troyano de acceso remoto (RAT) Remcos para controlar el dispositivo comprometido.

En ese sentido, una investigación de Kaspersky muestra que la infección comienza cuando la víctima abre un archivo PIF malicioso, incluido como adjunto en un correo electrónico, que infecta la computadora con DoubleFinger.

Ciberataque
Etapas del DoubleFinger para atacar a las criptobilleteras. Foto: tomada de Freepik

Etapas del DoubleFinger

Este loader se encarga del proceso de infección, el cual se divide en cinco etapas para eludir detección por los productos de seguridad.

  • En las dos primeras etapas se descarga código no malicioso: primero, dentro de una imagen PNG legítima y, después, en un archivo legítimo perteneciente a Java. Independientemente, estos códigos no contienen acción maliciosa.
  • En la tercera etapa se utiliza la técnica de esteganografía, que es la lectura de códigos en imágenes legítimas, para descifrar un código. En este paso, se agregan los códigos descargados en los pasos anteriores para completar la infección.
  • En la cuarta etapa, el malware ejecuta un proceso legítimo en la memoria de la computadora (técnica ‘sin archivos’). En este punto, el malware hace una copia del proceso y agrega el código malicioso compilado en el paso 3. De esta forma, ambos procesos quedan guardados en la memoria: el limpio y el malicioso.
  • En el último paso se descarga otra imagen, pero este archivo es el programa ladrón GreetingGhoul. Una vez en el sistema, este archivo .PNG cambia de nombre a la extensión .exe (un archivo ejecutable). De esta manera finaliza la infección.

Le puede interesar: Ciberseguridad: aumentan ataques de bots maliciosos por falta de protección

El programa ladrón GreetingGhoul es lo más destacado de estas estafas, ya que tiene dos componentes. El primero sirve para detectar si hay aplicaciones de billetera digital de criptomonedas instaladas en la máquina infectada.

Una vez que se detectan los objetivos, el segundo módulo crea pantallas que se superpondrán en la ventana de la aplicación de la billetera para robar las credenciales, las frases de recuperación y las claves de los activos digitales.

Ciberataque
Ciberataque. Foto: tomada de Freepik

Ejemplos de ventanas fraudulentas usando el DoubleFinger

Además del ladrón GreetingGhoul, Kaspersky también encontró muestras de DoubleFinger que descargan el Remcos RAT, un programa comercial de acceso remoto (RAT) que los ciberdelincuentes suelen utilizar en ataques dirigidos contra y organizaciones.

En este caso, el grupo utiliza esta característica para eludir las aplicaciones de billetera digital que solo funcionan en computadoras previamente autorizadas, ya que los atacantes realizan acceso remoto a estos dispositivos autorizados y cometen fraude.

Para mantener sus criptoactivos a salvo, se recomienda:

  • Compre productos oficiales: solo compre billeteras de hardware de fuentes oficiales y confiables, como el sitio web del fabricante o revendedores autorizados. Y nunca debe completar su semilla de recuperación en la computadora. El fabricante de la billetera de hardware nunca pedirá esto.
  • Compruebe si hay señales de manipulación: antes de usar una nueva cartera de hardware, compruebe si hay signos de manipulación, como arañazos, pegamento o componentes que no coinciden.
  • Verifique el firmware: siempre verifique que el firmware en la billetera de hardware sea legítimo y esté actualizado. Esto se puede hacer consultando el sitio web del fabricante para obtener la última versión.
  • Proteja su frase inicial: al configurar la billetera de hardware, almacene de forma segura su frase inicial. Una solución de seguridad confiable como Kaspersky Premium protegerá sus activos criptográficos almacenados en su teléfono móvil o PC.
  • Use una contraseña segura: si su billetera de hardware permite una contraseña, use una combinación segura y única. Evite usar contraseñas que sean fáciles de adivinar o reutilizar contraseñas de otras cuentas.
Convierta a Valora Analitik en su fuente de noticias