Las valoraciones vertiginosas de las criptomonedas han batido récord tras récord en los últimos años, convirtiendo a las personas con tenencias modestas en millonarios de la noche a la mañana. Una determinada red de delincuentes ha intentado unirse a la fiesta mediante una operación de amplio alcance que durante los últimos 12 meses ha utilizado una campaña de marketing completa para impulsar malware personalizado escrito desde cero para dispositivos Windows, macOS y Linux.
La operación, que ha estado activa desde al menos enero de 2023, no ha escatimado esfuerzos para robar las direcciones de billetera de los titulares de criptomonedas involuntarios, según un informe publicado por la firma de seguridad Intezer. El esquema incluye tres aplicaciones troyanizadas separadas, cada una de las cuales se ejecuta en Windows, macOS y Linux. También se basa en una red de empresas, sitios web y perfiles de redes sociales falsos para ganarse la confianza de las posibles víctimas.
Extraordinariamente sigiloso
Las aplicaciones se hacen pasar por software benigno que es útil para los poseedores de criptomonedas. Oculto en su interior hay un troyano de acceso remoto que fue escrito desde cero. Una vez que se instala una aplicación, ElectroRAT, como Intezer ha denominado la puerta trasera, permite que los delincuentes detrás de la operación registren las pulsaciones de teclas, tomen capturas de pantalla, carguen, descarguen e instalen archivos y ejecuten comandos en las máquinas infectadas. En un testimonio de su sigilo, las aplicaciones de criptomonedas falsas no fueron detectadas por todos los principales productos antivirus.
«Es muy poco común ver una RAT escrita desde cero y utilizada para robar información personal de los usuarios de criptomonedas», escribieron los investigadores en el informe de Intezer. «Es aún más raro ver una campaña tan amplia y dirigida que incluya varios componentes, como aplicaciones y sitios web falsos, y esfuerzos de marketing/promoción a través de foros relevantes y redes sociales».
Las tres aplicaciones que se usaron para infectar objetivos se llamaron «Jamm», «eTrade» y «DaoPoker». Las dos primeras aplicaciones afirmaron ser una plataforma de comercio de criptomonedas. La tercera era una aplicación de póquer que permitía hacer apuestas con criptomonedas.
Los delincuentes utilizaron campañas promocionales falsas en foros relacionados con criptomonedas, como bitcointalk y SteemCoinPan. Las promociones, que fueron publicadas por usuarios falsos de las redes sociales, llevaron a uno de los tres sitios web, uno para cada una de las aplicaciones troyanizadas disponibles. ElectroRAT está escrito en el lenguaje de programación Go.
La imagen a continuación resume la operación y las diversas piezas que utilizó para apuntar a los usuarios de criptomonedas:
entero
Seguimiento de Execmac
ElectroRAT utiliza las páginas de Pastebin publicadas por un usuario llamado «Execmac» para ubicar su servidor de comando y control. La página de perfil del usuario muestra que desde enero de 2023 las páginas han recibido más de 6.700 páginas vistas. Intezer cree que el número de visitas corresponde aproximadamente al número de personas infectadas.
La firma de seguridad dijo que Execmac en el pasado ha tenido vínculos con los troyanos de Windows Amadey y KPOT, que están disponibles para su compra en foros clandestinos.
“Una razón detrás de esto [change] podría ser apuntar a múltiples sistemas operativos”, especuló la publicación de Intezer. “Otro factor motivador es que se trata de un malware Golang desconocido, que ha permitido que la campaña pase desapercibida durante un año al evadir todas las detecciones de antivirus”.
La mejor forma de saber si has sido infectado es buscar la instalación de alguna de las tres apps mencionadas anteriormente. La publicación de Intezer también proporciona enlaces que los usuarios de Windows y Linux pueden usar para detectar la ejecución de ElectroRAT en la memoria. Las personas que han sido infectadas deben desinfectar sus sistemas, cambiar todas las contraseñas y transferir fondos a una nueva billetera.
