Una campaña de robo de criptomonedas basada en un nuevo 'malware' Clipper ha conseguido estafar al menos 400.000 dólares (unos 367.000 euros) en lo que ha transcurrido de 2023, afectado a 15.000 usuarios de 52 países distintos a través de un navegador Tor falso.
Los ataques de 'malware' de tipo Clipper son una técnica evolucionada de lo que planteaban originalmente los troyanos bancarios para reemplazar números de cuenta. Ahora, con el auge de las criptomonedas, el 'malware' ha evolucionado y su acción se basa en comprobar si el portapapeles de la víctima contiene direcciones de billetera de criptomonedas. En caso de que sí, Clipper las intercambia por otras que sean propiedad de los ciberdelincuentes.
Esta evolución implica el uso del navegador Tor (The Onion Router), que los usuarios lo utilizan para acceder a la 'deep web' y llevar a cabo sus transacciones de criptomonedas en un entorno de privacidad. Esto se debe a que con él se pueden aislar los sitios web que se visitan, consiguiendo evitar el seguimiento de los rastreadores de terceros y la publicidad. Asimismo, Tor también elimina las 'cookies' automáticamente y el historial de navegación.
En este sentido, tal y como han informado los expertos de la compañía de ciberseguridad Kaspersky, quienes han descubierto esta campaña de robo, los actores maliciosos utilizaban un navegador Tor falso para introducir el 'malware' Clipper y conseguir robar el dinero de las transacciones enviándolo a su cuenta.
Así, cuando los usuarios afectados trataban de instalar el navegador Tor, descargaban sin conocimiento un sitio falso que contenía un archivo RAR protegido con contraseña para que las soluciones de seguridad no pudieran detectar el 'malware'. Una vez descargado, el archivo con Clipper se registraba en el arranque automático y se mimetizaba como el icono de una aplicación «de uso popular» como, por ejemplo, uTorrent.
De esta forma, el 'malware' se ponía en marcha asegurando que el pago de las transacciones con las criptomonedas se realizase al ciberdelincuente y no al usuario que realmente debía recibir este importe.
En concreto, Kaspersky ha identificado más de 15.000 ataques a través de este método en transacciones de criptomonedas, entre ellas, Bitcoin, Ethereum, Litecoin, Dogecoin o Monero.
Además, según los sistemas de seguridad de la compañía, estos ataques se han registrado en al menos 52 países de todo el mundo. Así, la mayoría de los casos han sido detectados en Rusia, donde Tor está oficialmente bloqueado y los usuario tienen que descargarlo de sitios web de terceros. Le siguen Estados Unidos, Alemania, Uzbekistán, Bielorrusia, China, Países Bajos, Reino Unido y Francia.
En esta campaña, según ha identificado Kaspersky, las pérdidas contabilizadas en el transcurso de 2023 ascienden a, al menos, 400.000 dólares (367.000 euros). A pesar de todo ello, la compañía también advierte de que la cantidad de usuarios atacados y de infecciones con Clipper «podrían ser mucho mayores», ya que su investigación solo se ha enfocado en la campaña con el navegador Tor.
Tal y como ha explicado el jefe de la Unidad APAC, Equipo de Investigación y Análisis Global de kaspersky, Vitaly Kamluk, el ataque a través de la versión falsa de Tor «implica un peligro mayor del que se pueda pensar». Tal y como ha desarrollado, este ataque consigue ejecutar transferencias monetarias «irreversibles» y, además, "es muy difícil de detectar".
Otra de las características más peligrosas de este 'malware', según subraya Kamluk, es su capacidad de permanecer instalado «en silencio durante años», escondido hasta que reemplaza la dirección de una billetera criptográfica.
Para proteger las criptomonedas
Con motivo de esta campaña de ataques, Kaspersky ha recordado que es importante descargar 'software' solo de fuentes oficiales siempre que sea posible, además de verificar la identidad del sitio antes de descargarlo.
Por otra parte, la compañía de ciberseguridad también recomienda mantener siempre el 'software' actualizado, ya que, de esta forma, el usuario se asegura de que tanto el sistema operativo, como el navegador y otros programas cuenten siempre con los últimos parches y actualizaciones.
Igualmente, se ha de tener precaución con los archivos adjuntos descargados, así como con los enlaces recibidos por correo. En este aspecto, Kaspersky reitera que no se han de descargar archivos de fuentes desconocidas ni clicar en ningún enlace sospechoso, ya que pueden contener 'malware'. Y apunta también la importancia de utilizar soluciones de seguridad de confianza.