Detectan nuevo malware que pone en riesgo las billeteras de Criptomonedas

La conclusión:

• Anubis es un nuevo malware que puede atacar monederos de Criptomonedas y otros datos confidenciales. Se puso a la venta por primera vez en los Mercados de la dark web en junio y Microsoft ya ha visto campañas de ataque limitadas que lo utilizan.
• Los expertos recomiendan no visitar sitios web sospechosos ni abrir archivos adjuntos, enlaces o correos electrónicos extraños o sospechosos.
• El creciente interés por las criptomonedas, como hemos visto en los últimos meses, suele despertar el interés de nuevos usuarios que pueden ser especialmente susceptibles a este tipo de ataques.

Una nueva forma de malware llamada Anubis ya está disponible en el mundo después de haber circulado para su venta en Mercados oscuros de delitos cibernéticos en junio. de acuerdo a Inteligencia de seguridad de Microsoft. Mediante el uso de código bifurcado del malware Loki, Anubis puede robar identificadores de billeteras de Criptomonedas , información del sistema, información de tarjetas de crédito y otros datos.

Es importante destacar que este malware es distinto de una familia de malware bancario para Android también llamado Anubis. Se suma a una lista cada vez mayor de malware que busca escondites de Criptomonedas vulnerables.

“El malware se descarga desde determinados sitios web. Roba información y la envía a un servidor C2 (de comando y control) mediante un comando HTTP POST”, afirmó Tanmay Ganacharya, socio director de investigación de seguridad de Microsoft.

HTTP Post es básicamente una Request de datos de Internet. También se utiliza cuando se carga un archivo o se envía un formulario web completo.

Ver también:Un hacker robó datos personales de 1.000 comerciantes de un servicio de declaración de impuestos Cripto

“Cuando se ejecuta con éxito, intenta robar información y envía la información robada a un servidor C2 a través del comando HTTP POST”, dijo. “El comando post envía información confidencial que puede incluir nombres de usuario y contraseñas, como credenciales guardadas en navegadores, información de tarjetas de crédito e identificaciones de billeteras de Criptomonedas ”.

Cómo evitar a Anubis: lo que sabemos

Parham Eftekhari, director ejecutivo de Cybersecurity Collaborative, un foro para profesionales de la seguridad, revisó las imágenes del código tuiteado por Microsoft y dijo que no se ha publicado mucha información sobre el malware Windows Anubis.

Pero el bot Loki (del que se extrajo el código de Anubis) se difundió a través de correos electrónicos de ingeniería social con archivos adjuntos con extensiones “.iso”. Estos mensajes se hacían pasar por pedidos y ofertas de otras empresas y se enviaban a direcciones de correo electrónico de empresas disponibles públicamente, a veces desde el propio sitio de la empresa.

Cuando se trata de evitar a Anubis, Eftekhari dijo que las personas no deberían abrir ningún archivo adjunto o correo electrónico que no estén esperando o que les parezca desconocido.

“Deberían implementar aplicaciones antimalware en sus sistemas y escanearlos y actualizarlos con frecuencia”, dijo. “Por último, al acceder a cuentas confidenciales, como aplicaciones bancarias, deberían utilizar navegadores seguros o Privacidad que puedan evitar que el malware registre las pulsaciones de teclas o las capturas de pantalla”.

Ganacharya dijo que, como muchas amenazas, este nuevo malware intenta pasar desapercibido, por lo que no tiene pistas visuales obvias. Los usuarios pueden comprobar la presencia de archivos y procesos en ejecución sospechosos (por ejemplo, ASteal.exe, Anubis Stealer.exe), así como tráfico de red sospechoso.

Ver también:Binance y Oasis Labs lanzan una alianza para combatir el fraude y los ataques a las Cripto

Por su parte, Microsoft ha actualizado su Defender Advanced Threat Protection (Microsoft Defender ATP) para detectar el malware Anubis y lo monitorizará para ver si las campañas comienzan a propagarse. Microsoft Defender ATP utiliza protección en la nube impulsada por IA para defenderse de amenazas nuevas y desconocidas en tiempo real.

Ganacharya dijo que otros usuarios deben tener cuidado al visitar sitios web desconocidos o sospechosos, o al abrir correos electrónicos, archivos adjuntos y URL sospechosos. Además, los usuarios pueden activarbloqueo de aplicaciones no deseadas en Microsoft Edge para obtener protección contra los mineros de Criptomonedas y otro software que puede afectar el rendimiento de los dispositivos.

Sin embargo, para los profesionales de la seguridad existen señales reveladoras al analizar un sistema. Una de ellas son los indicadores de vulnerabilidad, que son indicadores de que un sistema ha sido vulnerado. Estos pueden incluir tráfico de red saliente inusual o actividad inusual en una cuenta.

Malware y Criptomonedas

Si bien el malware, o software diseñado para ser malicioso, no es nuevo, cada vez se utiliza más en la comunidad de Criptomonedas .

“En los últimos tres años hemos visto un aumento en la cantidad de malwares que atacan las computadoras de los usuarios y que, además de intentar registrar o robar contraseñas, se especializan en extraer criptomonedas del sistema de la víctima”, dijo Paolo Ardoino, director de tecnología de Bitfinex.

Ardoino dijo que los poseedores de Criptomonedas expertos en tecnología generalmente usan una billetera de hardware y almacenan su información (la información que genera y recupera una billetera) fuera de línea. Sin embargo, los usuarios menos experimentados, debido al miedo a perder la información de su billetera, pueden KEEP almacenada en su computadora. El malware puede entonces acceder al administrador de contraseñas u otro sitio de almacenamiento en línea mientras el usuario está accediendo a él, y copiar y pegar contraseñas.

Ver también:Ingeniería social: una plaga en las Cripto y en Twitter que difícilmente se detendrá

Otro ataque que puede ejecutar el malware, según Ardoino, es ver si el ordenador ejecuta un nodo de blockchain que tiene un archivo de billetera desprotegido. Incluso si ese archivo de billetera tiene una contraseña, si el malware implica un registrador de pulsaciones de teclas (o keylogger) puede capturar todo lo que el usuario escriba en el ordenador.

Dijo que hay muchos matices, pero a medida que la Criptomonedas se acerca a la adopción masiva, las prácticas de custodia descuidadas podrían hacer que las billeteras de Criptomonedas de las personas sean más fáciles de atacar que los bancos o incluso las tarjetas de crédito.

Subidas en Bitcoin (BTC) y éter (ETH), como los que hemos visto en los últimos meses, podrían despertar el interés de nuevos usuarios que pueden ser especialmente susceptibles a este tipo de ataques.

La pandemia plantea nuevas vulnerabilidades

La amenaza del malware solo ha aumentado a medida que las personas se han visto obligadas a trabajar y vivir de forma remota durante la pandemia de coronavirus, lo que ha aumentado la cantidad de tiempo que pasan en línea y la cantidad de sistemas que utilizan.

Ver también:Estas tarjetas SIM ilícitas facilitan los hackeos como el de Twitter

Según unInforme recienteSegún Malwarebytes, una empresa especializada en la lucha contra el malware, programas como AveMaria y NetWiredRC, que permiten infracciones como el acceso remoto a escritorios y el robo de contraseñas, han experimentado un enorme aumento en su uso durante la pandemia. Descubrieron que AveMaria experimentó un aumento del 1219 % de enero a abril en comparación con 2019; NetWiredRC observó un aumento del 99 % en las detecciones de enero a junio, principalmente dirigidas a empresas.

¿Es la defensa obvia la mejor defensa?

Paul Walsh, CEO de la empresa de ciberseguridad MetaCert, dijo que, dados los vectores de ataque identificados, los modelos tradicionales para identificar y protegerse contra estos ataques son erróneos.

La gran mayoría del malware se distribuye a través de correo electrónico de phishing y URL maliciosas, que superan en número a los archivos adjuntos peligrosos (como Anubis) cinco a ONE, según Walsh.

“La mayoría de los problemas de seguridad que involucran URL peligrosas pasan desapercibidos y, por lo tanto, no se bloquean”, dijo.

Ver también:El enfoque de YouTube para evitar los anuncios de estafas con Cripto sigue siendo un problema

Hay miles de proveedores de seguridad en el mundo, pero sólo un pequeño número posee sus propios "sistemas de inteligencia de amenazas", un término elegante para referirse a una gran base de datos de amenazas y amenazas potenciales. Esas empresas ceden esos datos bajo licencia a otras empresas. Si bien la empresa de Walsh, Metacert, tiene un sistema de inteligencia de amenazas, es posible que tenga URL que Google, por ejemplo, no T. En el mejor de los casos, es una solución fragmentada.

Y si las personas diseñan ataques de phishing dirigidos a una empresa específica, el daño generalmente se produce con bastante rapidez, antes de que una base de datos o una empresa de seguridad puedan saber que existe un sitio web personalizado.

Según Walsh, la duración, o el período de tiempo en el que un ataque de phishing ha logrado su objetivo, es de unos siete minutos. Pero las empresas de seguridad pueden tardar hasta dos o tres días en identificar y VET nuevos ataques de phishing, en particular si están diseñados para una empresa o un individuo.

Walsh afirma que las contraseñas seguras y la autenticación de dos factores son importantes. Yubikey, que es básicamente una versión de hardware de la autenticación de dos factores, es un paso más, pero no todos los sitios web la admiten.