CIBERDELINCUENTES UTILIZAN NUEVO MALWARE PARA ROBAR CRIPTOMONEDAS

16/03/2023

BOLETÍN NRO 2023-175

Recientemente se ha descubierto docenas de aplicaciones fraudulentas imitando aplicaciones como WhatsApp y Telegram para Android y Windows, las cuales en realidad son malware clippers que se encargan de robar billeteras de criptomonedas.

Servicios Afectados

• Sistemas operativos Windows
• Sistemas operativos Android

Detalles Tecnicos

CVE: ---

Severidad:   ALTA

Amenaza: --

Categoría: Malware

En esta campaña los ciberdelincuentes desarrollaron aplicaciones falsas de Telegram y WhatsApp, para ello se sabe que tuvieron que seguir 2 modelos totalmente distintos, porque Telegram es una aplicación open source y es relativamente sencillo agregar código malicioso sin alterar sus funcionalidades principales, sin embargo con WhatsApp al ser de código cerrado los atacantes tuvieron que hacer ingeniería inversa buscando en como agregar su código malicioso a la aplicación falsa sin que afectara a las funcionalidades de esta como el envio de mensajes.

Sobre este malware existen varios tipos que poseen distintas funcionalidades los cuales se pueden separar por grupos que comparten características similares. En un grupo están los que afectan a los sistemas operativos Android y utilizan una técnica denominada como OCR, que permite detectar texto de una foto o captura de pantalla que se encuentre en el dispositivo infectado. Las instrucciones que posee son de poder detectar un código especial para recuperar billeteras de criptomonedas, ya que con esto son capaces de libremente robar todos los fondos que existan.

En un segundo grupo el malware se encarga de cambiar el código de la billetera al ser transmitido por mensaje de texto, por lo que a la otra persona le llega en realidad el código del atacante para que se puede depositar las criptomonedas en este. En otro grupo se puede observar que se trata de un malware que imita a Telegram y monitorea los mensajes enviados en busca de palabras clave relacionadas con criptomonedas y si es que una palabra es reconocida esta se envía al servidor de los atacantes.

También se pudo identificar 2 grupos que afectan a Windows con una aplicación falsa de Telegram, la cual posee la misma funcionalidad del segundo grupo identificado en cambiar el código de las billetera con la diferencia de que este afecta a usuarios de Windows. Otro grupo de este malware es un troyano de acceso remoto el cual obtiene control completo sobre la maquina infectada, permitiendo robar las criptomonedas del usuario infectado sin necesidad de interceptar sus comunicaciones.

Se ha observado que el principal objetivo de esta campaña son usuarios de China; debido a que Telegram y WhatsApp se encuentran bloqueados en este país, los usuarios que quieran utilizarlas se ven obligados a buscar las aplicaciones en Internet.

Indicadores de Compromiso

Para acceder a la lista completa de IOC hacer click aquí.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​