Electrum ha estado enfrentando ataques cibernéticos desde diciembre del año pasado
Un ataque en curso contra las billeteras Electrum Bitcoin se ha vuelto cada vez más fuerte y los atacantes apuntan ahora a toda la infraestructura del cambista con una red de bots (botnet) de más de 152.000 usuarios infectados, aumentando la cantidad de fondos de usuarios robados a USD 4,6 millones.
Electrum ha estado enfrentando ataques cibernéticos desde diciembre del año pasado cuando un equipo de delincuentes cibernéticos explotó una debilidad en la infraestructura de Electrum para engañar a los usuarios de la billetera para que descargasen versiones maliciosas del software.
En resumen, los atacantes agregaron algunos servidores maliciosos a la red de pares (peer) de Electrum que fueron diseñados para mostrar deliberadamente un error para legitimar las aplicaciones de billetera de Electrum, instándolos a descargar una actualización maliciosa de software de billetera desde un repositorio no oficial de GitHub.
El ataque de phishing finalmente permitió a los atacantes robar fondos de la billetera (casi 250 Bitcoins que equivalen a alrededor de $ 937.000 en ese momento) y tomar el control total de los sistemas infectados.
Para contrarrestar esto, los desarrolladores detrás de Electrum explotaron la misma técnica que los atacantes para alentar a los usuarios a descargar la última versión parcheada de la aplicación de billetera.
"Los clientes de Electrum anteriores a 3.3 ya no pueden conectarse a servidores públicos de Electrum. Comenzamos a explotar una vulnerabilidad de DOS en esos clientes, para forzar a sus usuarios a actualizar y evitar la exposición a mensajes de phishing. Los usuarios de Linux Tail deben descargar nuestra Appimage", los desarrolladores de Electrum publicaron en tuiteo en marzo.
En respuesta a esto, los atacantes iniciaron DDoSing servidores Electrum legítimos en un intento de engañar a los clientes más antiguos para que se conecten a nodos maliciosos, mientras que los nodos legítimos se veían inundados.
Según una entrada publicada por el equipo de investigación de Malwarebytes Labs, la cantidad de máquinas infectadas que descargaron el software cliente malicioso y están participando involuntariamente en los ataques DDoS ha alcanzado las 152.000, que eran menos de 100.000 la semana pasada.
Los atacantes detrás de estas campañas distribuyen básicamente un malware de botnet, denominado "ElectrumDoSMiner", al aprovechar principalmente el kit de explotación RIG, el cargador Smoke y un nuevo cargador BeamWinHTTP previamente no documentado.
"Hay cientos de binarios maliciosos que recuperan el ElectrumDoSMiner", señalan los investigadores. "Suponemos que probablemente haya muchos más vectores de infección más allá de los tres que hemos descubierto hasta ahora".
Según los investigadores, la mayor concentración de bots Electrum DDoS se encuentra en la región de Asia Pacífico (APAC), Brasil y Perú, con la red de botnet en continuo crecimiento.
"El número de víctimas que forman parte de esta botnet está cambiando constantemente. Creemos que a medida que algunas máquinas se limpian, se infectan otras nuevas y se unen a las demás para realizar ataques DoS. Los investigadores señalan que "Malwarebytes detecta y elimina las infecciones por ElectrumDoSMiner en más de 2.000 puntos finales".
Dado que las versiones actualizadas de Electrum no son vulnerables a los ataques de phishing, se recomienda a los usuarios actualizar sus aplicaciones de billetera a la última versión (3.3.4) descargándolas del sitio oficial electrum.org.
Mientras tanto, se recomienda a los usuarios de la aplicación de billetera Electrum que deshabiliten la función de conexión automática y seleccionen su servidor manualmente para evitar ataques DDoS.
