Alertan sobre nuevo malware dedicado al robo de criptomonedas
S21sec, empresa de servicios de ciberseguridad adquirido por Thales Group en 2022, ha realizado una exhaustiva investigación, por parte de su equipo de Threat Intelligence, para la publicación de un informe especial que analiza la detección a nivel global de un malware llamado CryptoLove Loader, relacionado principalmente con el robo de carteras de criptomonedas.
Este hallazgo, derivado de la vigilancia continua de la campaña ya detectada en enero sobre el grupo cibercriminal CryptoLove, evidencia la dificultad de la detección de este malware que además permite la ejecución de otros tipos de amenazas.
La cadena de infección de este programa malicioso, comienza con un mensaje relacionado con criptomonedas en redes sociales. Los ciber atacantes, identificados como CryptoLove Team, se aseguran una víctima potencial cuando verifican si ésta dispone de una cantidad considerable de fondos en alguna de sus carteras de criptomonedas y en ese momento comienzan con la estafa. El objetivo consiste en aplicar técnicas para conseguir que la víctima visite su página y descargue el lanzador correspondiente.
El archivo ejecutable, que no es detectado por antivirus ni navegadores, funciona como Loader (o gestor de arranque) un componente muy importante en el proceso de inicio de un dispositivo ya sea un ordenador, móvil o cualquier equipo electrónico. En esta investigación, se ha podido visibilizar que a través de este ataque, se activan diferentes tipos de malware que se distribuyen en el equipo de la víctima con la intención de robar credenciales del navegador o de la cartera de criptomonedas.
Es la primera vez que se documenta dicha campaña y también al actor detrás de la misma, conocido como CryptoLover_RON, quien tiene como objetivo principal el robo de carteras de criptomonedas a partir de estafas relacionadas con NFT (Non-Fungible Token), activos digitales encriptados.
La atribución de este proyecto cuenta con varios perfiles de administradores detectados en la Dark Web así como en otras redes de mensajería utilizada por los cibercriminales como Telegram. El origen de este programa es ruso y el grupo que lo gestiona tiene prohibido operar de ninguna forma en países pertenecientes al CEI (Comunidad de Estados Independientes).
En el reporte publicado se detalla toda la investigación, el tipo de táctica de estos cibercriminales, los comportamientos del malware e incluso pantallazos de los descubrimientos, perfiles del grupo criminal detectado y hasta el manual que han desarrollado los miembros de CryptoLove Team, el paso a paso del funcionamiento del ataque y al final unas detalladas recomendaciones para protegerse de este ataque.
Ver más: ¿Cuáles serán las tecnologías que dominarán el sector logístico este 2024?
Ver más: Trabajo híbrido: ¿Sí o no?
Ver más: 4 recomendaciones para prevenir el ransomware en su organización
