Autor: Susana B. García para CIBERPRISMA
La crisis económica emergente de la pandemia ha atraído a muchos inversores inexpertos al terreno de las criptomonedas, sin advertir que los ciberdelincuentes están tan sólo a un «click» de distancia. Y no sólo inversores son sus víctimas, también pensemos en cuantas organizaciones han incorporado las criptomonedas, en su estrategia de capitalización como medida preventiva, ante la eventualidad de resultar víctimas de un ataque ransomware. En este caso sólo sería necesario que un empleado descuidado y con veleidades de hacker abra la puerta a la billetera de la empresa.
Este es el caso de HackBoss, el canal de Telegram de @brute_engine que habría sido diseñado para atraer a «aprendices de hacker». Este canal autodescripto como el sitio «donde encontrarás el mejor software para hackers (para hackear bancos, apps de citas y criptomonedas) se encuentra activo desde 2018. LLevaba ya acumulados alrededor de 3000 seguidores, ávidos lectores de sus posteos (cerca de siete posteos por mes con un promedio de 1285 vistas por posteo).
El cebo: información sobre cómo desbloquear o «crackear» aplicaciones y otros software. Según AVAST en ese canal podían encontrarse software y herramientas falsas para «crackear» sitios web bancarios, redes sociales, billeteras de criptomonedas, claves privadas e incluso generadores de «gift cards» (tarjetas de regalo). Los agresores también administraban el blog cranhan.blogspot[.]com donde también publicaban sus falsas herramientas de craqueo. Estas publicaciones por lo general contenían una descripción de la supuesta funcionalidad de la aplicación de craqueo y capturas de pantalla de la interfaz de usuario de la aplicación. Y en algunos casos incluía un enlace al canal de YouTube «Bank God» con un video donde se promocionaban sus herramientas. El esfuerzo de publicidad de los agresores incluía también posteos en varios foros de discusión públicos.
A continuación te copiamos un extracto en castellano de la muestra incluida en el Informe de AVAST. Se trata de una herramienta para generar criptomonedas falsas con el propósito de efectuar pagos falsos, engañar a amigos o familiares o como tutorial. Las criptomonedas generadas con esta herramienta desaparecerán a los tres días de la billetera del receptor. Esta herramienta fue publicada en el Canal de Telegram y en el blog que mencionamos, además de aparecer en los comentarios en otros foros públicos o sitios web como «funbox.com.au» entre el 18 y el 20 de diciembre 2020. AVAST informa que los avisos fueron publicados con diferentes nombres de usuarios: bittopInisp, bittopencum, bittoplaway, bittopPIP, bittopmeert. La publicación dirige a un sitio encriptado de almacenamiento en la nube (mega.nz), desde el cual puede descargarse la herramienta. Al visitar ese sitio, se descarga el archivo «BitcoApp.zip» con una herramienta que en realidad no existe pero que contiene el código malicioso que al ejecutarse robará las criptomonedas del desprevenido usuario.
HERRAMIENTA FAKE BITCOIN SENDER
VIDEO CON INSTRUCCIONES: HTTPS://WWW.YOUTUBE.COM/WATCH?V=jt5dQYosjrk
Descargalo en: https:mega.nz/file/Mo5EnYxD#pQoaU0w2JqNVdqlCrGuqaDuivlAbRfzjEt-hsnbT_jk
Utiliza este generador falso de bitcoins para crear entre 0,001 y 300 bitcoins y enviaselos a cualquiera de tus amigos.
Este software tiene sólo fines educativos.
GRATIS sólo por 7 días.
-bittopInisp - Dic 2020
Cuando el curioso descarga la falsa «herramienta hacker» (formato «.zip»), esta no baja sola. La acompaña un malware o código malicioso simple pero efectivo: desviar el destino final que el usuario desprevenido tenía previsto darle a una transacción con criptomonedas.
El malware pertenece a la familia de «Cryptocurrency Clipboard Hijacker», bastante popular en 2018. Con una sencilla funcionalidad, el malware busca en el portapapeles (clipboard) contenidos con formato de billetera de criptomonedas y, una vez que la encuentra, la reemplaza por la billetera del agresor. Con este simple acto, cuando el usuario copia la dirección de su billetera, le envía sin saberlo sus criptomonedas al atacante.
La carga maliciosa continúa funcionando aún cuando el usuario cierra la aplicación. Y si el proceso se cerrara, por ejemplo mediante el Administrador de Tareas (Task Manager) puede iniciarse nuevamente al iniciar sesión o mediante la programación de una tarea siguiente.
Este tipo de ataque tan simple no suele ofrecer grandes dividendos, pero parece que HackBoss es la excepción a la luz de sus resultados: más de medio millón de dólares en diferentes tipos de criptomonedas. El análisis de AVAST reveló que más de 100 direcciones de criptomonedas (desde Bitcoin, Ethereum, Dogecoin, Litecoin y Monero) se encontraban bajo el control de los agresores. Sin embargo, teniendo en cuenta que también controlaban billetera de criptomonedas Monero es probable que sus ganancias superaran estas primeras cifras.
| CRIPTOMONEDA | CANTIDAD ROBADA | VALOR EN DÓLARES aprox. |
|---|---|---|
| BITCOIN | 8,43237903 BTC | 540.000 |
| ETHEREUM | 6,893571509 ETH | 16.430 |
| LITECOIN | 1,12499004 LTC | 315 |
| DOGECOIN | 2.299,38 DOGE | 297 |
La firma AVAST fue la que detectó la presencia del código malicioso y le asignó la misma denominación que la cuenta de Telegram asociada, HAckBoss. La incidencia de este tipo de ataques afectó principalmente a EEUU, Nigeria, Rusia e India, coincidentemente con los cuatro países que presentan los mayores índices de nuevas generaciones de hackers. Sin embargo, sólo basta observar el mapa de Avast para caer en la cuenta que las víctimas de HackBoss no se limitaron a esos cuatro países.
Si querés saber más sobre Hackboss y los indicadores de compromiso te recomendamos que consultes el informe completo de AVAST en https://decoded.avast.io/romanalinkeova/hackboss-a-cryptocurrency-stealing-malware-distributed-through-telegram y los indicadores de compromiso en https://github.com/avast/ioc/tree/master/HackBoss
Fuentes:
Ciberprisma - alianza por la ciberseguridad 