DoubleFinger: un malware que amenaza las billeteras de criptomonedas en Latinoamérica
En un preocupante hallazgo, se ha descubierto un nuevo malware que tiene como objetivo las billeteras de criptomonedas en América Latina. Este ataque, conocido como DoubleFinger, ha demostrado ser capaz de robar criptodivisas, incluso de las billeteras físicas o de hardware que se consideran generalmente más seguras que las billeteras digitales comunes.
La empresa de ciberseguridad Kaspersky fue la encargada de detectar este nuevo ataque, que se encuentra activo en Europa, Estados Unidos y América Latina, aunque su enfoque principal parece estar en nuestra región. “Esta estafa deja en claro el gran interés que tienen los delincuentes en los activos digitales. Aquellos que deseen invertir en criptomonedas deben estar alerta, implementar medidas de seguridad más sólidas y mantenerse informados sobre nuevas estafas y cómo evitarlas, ya que sofisticados fraudes como este seguirán apareciendo”, advirtió Fabio Assolini, director del equipo de investigación y análisis global para América Latina en Kaspersky.
El funcionamiento de este ataque se desarrolla en cinco etapas, lo que lo asemeja a un ataque de amenaza persistente avanzada (APT), que utiliza técnicas de hackeo continuo, clandestino y avanzado para acceder a un sistema y permanecer allí durante un tiempo prolongado.
El proceso de infección comienza cuando las víctimas abren un archivo malicioso en un correo electrónico. En ese momento, DoubleFinger infecta la computadora y comienza su proceso de infiltración.
Lo que distingue a este malware es su capacidad para robar criptomonedas almacenadas en billeteras de hardware, que generalmente se consideran una opción más segura debido a su naturaleza física y su desconexión de Internet. Para lograrlo, DoubleFinger descarga archivos maliciosos en el sistema infectado en cinco etapas, evitando así la detección de los protocolos de seguridad.
En las primeras dos etapas, se descargan códigos no maliciosos dentro de una imagen PNG legítima y un archivo Java auténtico. Estos códigos en sí no realizan ninguna acción maliciosa, lo que dificulta su detección. En la tercera etapa, se utiliza la técnica de descifrar un código oculto en imágenes legítimas para completar la infección. En la cuarta fase, el malware ejecuta un proceso legítimo en la memoria de la computadora utilizando la técnica conocida como “sin archivos”. En este punto, el virus ejecuta una copia del proceso y agrega el código malicioso compilado en la etapa anterior. Ambos procesos se almacenan en la memoria: uno limpio y el otro malicioso.
Finalmente, en el último paso, se descarga una imagen que en realidad es el programa ladrón GreetingGhoul, un componente destacado de esta estafa.
Una vez que el sistema está infectado, el programa ladrón comienza a detectar si hay aplicaciones de billetera digital de criptomonedas y, al encontrarlas, crea una pantalla superpuesta para robar las credenciales de acceso.
Además de este tipo de ataque, Kaspersky también ha identificado virus de acceso remoto que permiten a los ciberdelincuentes realizar ataques dirigidos a empresas. En estos casos, evaden las aplicaciones de billetera digital que solo funcionan en computadoras previamente autorizadas, lo que les permite cometer fraudes.
Kaspersky recomienda adquirir productos oficiales que cumplan con los estándares de seguridad, utilizar contraseñas seguras, mantener actualizadas las aplicaciones de criptomonedas y estar atentos a cualquier manipulación o actividad sospechosa. Estas medidas ayudarán a prevenir este tipo de estafas y proteger los activos digitales de los usuarios.
