top of page

Falsa app de criptomonedas roba información sensible y espía

  1. La compañía de ciberseguridad advirtió sobre la existencia de una falsa aplicación de billetera de la criptomoneda Safemoon que distribuye una herramienta de acceso remoto utilizada para espiar a la víctima, robar credenciales y más.

(ITNOW).- Los delitos relacionados con la actividad de las monedas virtuales han crecido junto con la aparición de estas: desde la minería en navegadores hasta ataques de ingeniería social que utilizan esta temática atractiva para atraer víctima.

En este sentido, ESET advierte sobre una campaña activa sobre una app falsa de la criptomoneda Safemoon que distribuye una herramienta de acceso remoto (RAT) que espía y roba información.

Entre las funciones más críticas que realizan con el equipo comprometido se encuentran la obtención de credenciales de acceso de varios navegadores como Internet Explorer, Firefox y Google Chrome, el registro de pulsaciones de teclado del usuario (keylogging), la captura de audio desde el micrófono de la víctima y la descarga de archivos adicionales de acuerdo al interés del atacante mediante enlaces.

En relación a Safemoon, es una cripto que opera desde marzo 2021, que es valorada por su volatilidad y crecimiento desde que irrumpió en el mercado. En agosto se denunció vía Reddit que había un sitio que estaba imitando la identidad de Safemoon para engañar a los usuarios y hacerlos dirigirse a una página para descargar una “actualización”.

Desde ESET marcaron esta acción como un “ataque homográfico”, en donde el cibercriminal agrega o modifica un carácter del enlace a modificar. El sitio falso consiste en una copia fiel de una versión antigua del sitio original. De hecho, el equipo de investigación de ESET destaca que cada enlace presente en el sitio falso redirige al real, a excepción del enlace para la descarga de la aplicación mencionada en el mensaje fraudulento.

La descarga simula ser la misma anunciada en el sitio real. Sin embargo, se trata de una aplicación maliciosa que utiliza una herramienta de administración de dispositivos de manera remota cuyo objetivo es espiar al usuario. Como dato extra desde ESET mencionan que el sitio fraudulento ofrece la descarga directa de la aplicación, mientras que el sitio oficial ofrece un enlace a la tienda Google Play.

El archivo tiene características de troyano, ya que se presenta a la víctima como una imitación de una aplicación inofensiva y operando de manera transparente. Una vez ejecutado, no realizará ningún tipo de acción que el usuario pueda detectar, sino que se descargan una serie de archivos, entre ellos el payload de una conocida herramienta de acceso remoto (RAT) llamada Remcos. Por sus siglas en inglés, el acrónimo RAT corresponde a herramienta de acceso remoto, pero también es utilizado para referirse a troyanos de acceso remoto.

“La diferencia entre un RAT legítimo de uno malicioso está en quienes controlan la herramienta, ya sea una organización o cibercriminales. Las distintas capacidades de este malware se centran en espiar al usuario. Estas funcionalidades serán utilizadas de acuerdo al interés y deseo del atacante, quien controla a la amenaza por medio de un servidor de comando y control, cuya dirección IP se encuentra inyectada en los mismos archivos descargados. Desde ESET advertimos sobre esta campaña activa ya que apostamos a la concientización como principal herramienta de protección. Conocer los riesgos nos ayudan a evitarlos tomando los recaudos necesarios”, comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.

Comments


bottom of page