Microsoft advierte sobre malware de robo de información "Cryware" dirigido a billeteras de criptomonedas

Permite que el actor de amenazas inicie transacciones deshonestas y mueva fondos a otra billetera

Microsoft ha advertido sobre una amenaza emergente dirigida a las billeteras de criptomonedas conectadas a Internet, lo que indica un cambio en el uso de monedas digitales en los ataques cibernéticos.

El gigante tecnológico denominó a la nueva amenaza "Cryware", y los ataques resultaron en el robo irreversible de monedas virtuales mediante transferencias fraudulentas a una billetera controlada por un maleante.

"Cryware son ladrones de información que recopilan y extraen datos directamente de billeteras de criptomonedas sin custodia, también conocidas como billeteras calientes", dijeron en un nuevo informe Berman Enconado y Laurie Kirk del Microsoft 365 Defender Research Team.

"Debido a que las billeteras calientes, a diferencia de las billeteras de custodia, se almacenan localmente en un dispositivo y brindan un acceso más fácil a las claves criptográficas necesarias para realizar transacciones, cada vez las atacan más amenazas".

Los ataques de este tipo no son teóricos. A principios de este año, Kaspersky reveló una campaña de motivación financiera organizada por Lazarus Group, con sede en Corea del Norte, que implicaba atacar con malware a las empresas de cifrado diseñado para drenar fondos de las billeteras calientes.

El Cryware abarca las siguientes amenazas:

• Cryptojackers que consumen subrepticiamente los recursos del dispositivo de un objetivo para extraer criptomonedas
• Campañas de ransomware que utilizan criptomonedas como pago de rescate para evitar la detección
• Ladrones de información (p. ej., Mars Stealer, RedLine Stealer, Arkei y Raccoon) que se actualizan cada vez más para desviar datos de billetera activa junto con otra información valiosa almacenada en el sistema, y
• ClipBankers (también conocidos como clippers) que roban criptomonedas durante las transacciones al monitorear el portapapeles y reemplazar la dirección de la billetera original con la dirección del atacante

Dichos ataques de robo de información tienen como objetivo extraer datos de billetera activa, como claves privadas, frases iniciales y direcciones de billetera, lo que permite que el actor de amenazas inicie transacciones deshonestas y mueva fondos a otra billetera.

Alternativamente, también se ha observado que los ciberdelincuentes aprovechan técnicas como el volcado de memoria para mostrar las claves privadas en texto sin formato, el registro de teclas para capturar las pulsaciones de teclas ingresadas por una víctima o el diseño de sitios web de billeteras similares para engañar a los usuarios para que ingresen sus claves privadas.

Para mitigar tales amenazas, Microsoft recomienda a los usuarios y organizaciones que bloqueen las billeteras calientes cuando no estén comerciando, desconecten los sitios conectados a una billetera, eviten almacenar claves privadas en texto sin formato y verifiquen el valor de la dirección de la billetera al copiar y pegar la información.

"Cryware significa un cambio en el uso de las criptomonedas en los ataques: ya no como un medio para un fin, sino como el fin en sí mismo", dijeron los investigadores.