Durante las últimas semanas hemos visto una subida espectacular en el valor de varias criptodivisas, con el bitcoin a la cabeza marcando máximos históricos alrededor de los 20.000 dólares por unidad durante el pasado fin de semana. Este espectacular aumento en su valor ha hecho que los delincuentes pongan aún más su punto de mira en todo lo relacionado con las criptodivisas, atacando tanto a particulares como a empresas para robar las carteras donde almacenan estas monedas, y aprovechándose de sus recursos para minarlas.
Usuarios como primer objetivo
Como es habitual, las principales víctimas suelen ser los usuarios, y eso se puede comprobar analizando dos de las campañas de phishing que se han estado propagando durante las últimas semanas.
La primera de ellas fue detectada por expertos de Fortinet y venía presentada en forma de correo electrónico anunciando un nuevo bot para negociar con bitcoin llamado Gunbot, un producto que existe realmente y que ha sido desarrollado por la empresa Gunthy. En este correo se adjuntaba un archivo comprimido que contenía un script en Visual Basic que, a su vez, descargaba un fichero que simulaba ser una imagen, pero que en realidad era un ejecutable malicioso.
Ejemplo de correo de phishing utilizado por los delincuentes – Fuente: Fortinet
Este fichero ejecutable tenía como objetivo controlar remotamente el sistema de la víctima mediante una herramienta RAT (Remote Access Tool), concretamente la conocida como ORCUS. Con esta herramienta, el atacante tiene el control absoluto del sistema de la víctima, pudiendo acceder a sus ficheros, emails o incluso controlar el micrófono o la webcam en caso de estar disponibles.
Otros ejemplos de phishing vistos durante las últimas semanas incluyen la creación de varios sitios web que intentan hacerse pasar por webs legítimas relacionadas con el mundo de las criptodivisas, como blockchain.info o localbitcoins.com. Este tipo de campañas no son nuevas, puesto que ya hemos visto ejemplos similares en meses anteriores, pero con el aumento del valor de estas criptodivisas están aumentando de forma considerable.
Ataques a empresas para minar criptodivisas
Pero no solo se está usando la fiebre por las criptodivisas para intentar engañar a los usuarios en campañas de phishing. Los delincuentes saben cómo explotar los recursos de sus víctimas para minar sus propias monedas, tal y como se ha visto a lo largo de los últimos años. Es por eso que no nos extrañamos de ver campañas de propagación de malware diseñado para infectar sistemas con aplicaciones de minado, como la descubierta recientemente por investigadores de F5 Labs.
Esta campaña, denominada Zealot por sus descubridores, tiene como objetivo a servidores Linux y Windows vulnerables. Los delincuentes están escaneando Internet en busca de servidores que no hayan parcheado varios agujeros de seguridad. Los exploits utilizados por los atacantes para infectar servidores Linux y Windows afectan a Apache Struts (CVE-2017-5638) y al CMS DotNetNuke ASP.NET (CVE-2017-9822).
A la hora de infectar servidores Windows, los atacantes utilizan también unos exploits muy conocidos por ser los que pertenecían a la NSA y que se filtraron a mediados de abril por el grupo Shadow Brokers. Posteriormente, estos exploits fueron utilizados en algunos de los ataques más relevantes del año, como WannaCry o BadRabbit, y también se ha observado cómo se han utilizado anteriormente para minar criptodivisas aprovechando sistemas infectados.
Una vez han conseguido acceder al sistema, los delincuentes utilizan scripts en PowerShell (en servidores Windows) y en Python (en servidores Linux) para descargar e instalar el software de minado de la criptodivisa Monero, aprovechando así los recursos de las empresas afectadas para su propio beneficio.
Un ejemplo de un ataque de estas características ha sido descubierto recientemente en una importante empresa rusa, Transneft, empresa propietaria del mayor oleoducto del mundo. Portavoces de esta empresa declararon haber descubierto software de minado de criptodivisas en alguno de sus sistemas, software que ya ha sido eliminado.
Conclusión
Llevamos tiempo analizando la actualidad en seguridad informática como para saber que los delincuentes irán ahí donde haya posibilidad de obtener beneficio rápido, y ese beneficio se encuentra ahora en las criptodivisas. Es por eso que esperamos ver más incidentes de este tipo durante las próximas semanas o meses, dependiendo de cómo evolucione el valor de estas monedas.
Ya tengas en tu posesión alguna de estas criptodivisas o no, los delincuentes van a intentar aprovechar esta moda para infectar al mayor número de usuarios posible, utilizando todos los medios a su alcance. Es nuestra obligación permanecer atentos a campañas como las que hemos analizado en este artículo para evitar caer en trampas similares.