Utilizan cracks de Microsoft Office y Adobe Photoshop CC para robar datos y criptomonedas

Investigaci贸n de Bitdefender revela que durante los 煤ltimos tres a帽os se han estado robando datos y criptomonedas de las billeteras de Monero mediante la instalaci贸n de un potente malware.

Seg煤n Bogdan Botezatu, director de Investigaci贸n e Informes de Amenzas en Bitdefender, 鈥渓os cracks existen desde la aparici贸n del software comercial. Son peque帽as aplicaciones, f谩ciles de usar, que est谩n disponibles en sitios web especializados. Su instalaci贸n permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta actividad, adem谩s de implicaciones legales por el uso de software sin autorizaci贸n del propietario, presenta tambi茅n graves riesgos de seguridad鈥.

El origen de este anuncio est谩 en el descubrimiento reciente por parte de los analistas de Bitdefender de una serie de ataques que aprovechan los cracks de herramientas ofim谩ticas y de edici贸n de im谩genes para instalar un malware de puerta trasera que consigue comprometer PCs, robar carteras de criptomonedas y exfiltrar datos a trav茅s de la red TOR. En esta investigaci贸n llevada a cabo a nivel global, Espa帽a aparece como el octavo pa铆s m谩s afectado por esta pr谩ctica, acaparando un 3,2% de las v铆ctimas totales. Los pa铆ses m谩s perjudicados son EE.UU. (11,9%) e India (11,6%).

M谩s concretamente, en esta investigaci贸n se demuestra c贸mo:

Se instala un malware de puerta trasera mediante el que el ciberdelincuente consigue el control total del dispositivo, por lo que puede robar contrase帽as, archivos locales, PINs o cualquier otra credencial.

Es posible robar billeteras de Monero. Si el atacante identifica una cartera de Monero almacenada en el dispositivo, podr谩 robarla, junto con todas sus criptomonedas.

Los perfiles del navegador Firefox pueden ser pirateados, lo que permite hacerse con contrase帽as de inicio de sesi贸n almacenadas, historial de navegaci贸n, marcadores y cookies de sesi贸n. Con respecto a estas 煤ltimas, Bitdefender recuerda que a trav茅s de las cookies de sesi贸n es posible acceder a distintos servicios sin necesidad de contrase帽as o de autenticaciones de doble factor (2FA).

鈥 Este tipo de ataque est谩 activo desde la segunda mitad de 2018.

Los investigadores de Bitdefender explican que una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta leg铆tima para enviar datos sin procesar a trav茅s de la red), as铆 como un proxy TOR. Adem谩s, se coloca tambi茅n en el disco un archivo batch que contiene la l铆nea de comandos para el componente Ncat y que recorre los puertos 8000 a 9000 sobre un dominio .onion. Estas herramientas trabajan juntas para crear una puerta trasera que 

se comunica con el centro de comando y control a trav茅s de TOR. El crack crea mecanismos de persistencia para el archivo proxy TOR y el binario Ncat en la m谩quina con un servicio y una tarea programada que se ejecuta cada 45 minutos, respectivamente. La investigaci贸n llevada a cabo por Bitdefender revela que, con toda probabilidad, no se env铆an solicitudes a las v铆ctimas de forma automatizada, sino que la puerta trasera es utilizada de forma interactiva por un operador humano. Algunas de las acciones que se observan son:

  • Exfiltraci贸n de archivos. Ncat puede recibir archivos locales para enviarlos a trav茅s de TOR a los centros de comando y control.
  • Ejecuci贸n del cliente BitTorrent. Es probable que los atacantes utilicen clientes BitTorrent para exfiltrar datos.
  • Apagado del firewall en preparaci贸n para la exfiltraci贸n de datos.
  • Robo de los datos del perfil del navegador Firefox (historial, credenciales y cookies de sesi贸n). Antes de la exfiltraci贸n, los atacantes archivan la carpeta del perfil con 7zip para generar un archivo que contenga todo.
  • Robo de billeteras Monero a trav茅s del cliente CLI leg铆timo ‘monero-wallet-cli.exe’.

Esta lista de acciones no es exhaustiva, ya que los atacantes consiguen un control total del sistema y pueden adaptar las campa帽as en funci贸n de sus intereses puntuales.

Distribuci贸n geogr谩fica

Pa铆sV铆ctimas (%)
Estados Unidos11.89%
India11.66%
Grecia6.99%
Canad谩6.76%
Alemania4.43%
Reino Unido4.20%
Italia3.73%
Espa帽a3.26%
M茅xico2.80%
Polonia2.80%
Sierra Leona2.33%
Filipinas2.10%
Francia2.10%
Gr谩fico: Bitdefender




Newsletter

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.