Los investigadores de seguridad cibernética han descubierto una operación de malware de un año que se ha dirigido a los usuarios de criptomonedas con la creación de una serie de aplicaciones falsas.

La firma de seguridad Intezer Labs advirtió que los crecientes precios de las criptomonedas han creado una mayor actividad entre los piratas informáticos y los actores maliciosos que buscan ganancias financieras. El malware se difundió durante el último año, pero solo se descubrió en diciembre de 2020.

El nuevo troyano de acceso remoto (RAT), denominado ElectroRAT, se ha utilizado para vaciar las billeteras de criptomonedas de miles de usuarios de Windows, macOS y Linux, agrega el informe.

Tres aplicaciones relacionadas con criptomonedas implementadas en el ataque (Jamm, eTrade / Kintum y DaoPoker) estaban alojadas en sus propios sitios web. Las dos primeras son aplicaciones de comercio de cifrado falsas, mientras que la tercera se basa en juegos de azar.

El malware ElectroRAT oculto dentro de estas aplicaciones es extremadamente intrusivo según los investigadores;

«Tiene varias capacidades, como registro de teclas, tomar capturas de pantalla, cargar archivos desde el disco, descargar archivos y ejecutar comandos en la consola de la víctima».

Después de iniciarse en la computadora de la víctima, las aplicaciones muestran una interfaz de usuario en primer plano diseñada para desviar la atención de los procesos maliciosos en segundo plano. Las aplicaciones se promocionaron utilizando las plataformas de redes sociales Twitter y Telegram, además de foros basados ​​en criptomonedas como Bitcointalk.

Intezer Labs estimó que la campaña ya ha infectado a «miles de víctimas» a las que se les han vaciado las criptomonedas. Agregó que había evidencia de que algunas víctimas que se vieron comprometidas por las aplicaciones estaban usando billeteras criptográficas populares como MetaMask.

El malware se ha escrito en un lenguaje de programación multiplataforma llamado Golang, lo que dificulta su detección. La firma de seguridad declaró que era poco común ver una RAT diseñada para robar información personal de usuarios de criptomonedas que fue escrita desde cero, agregando;

«Es aún más raro ver una campaña tan amplia y dirigida que incluye varios componentes, como aplicaciones y sitios web falsos, y esfuerzos de marketing / promoción a través de foros relevantes y redes sociales».

Ha habido una serie de casos en 2020 en los que versiones falsas de aplicaciones legítimas y extensiones de navegador como MetaMask o Ledger se han abierto camino en las computadoras de las víctimas. Esto puede estar relacionado con la violación masiva de datos de Ledger a mediados de diciembre.

En septiembre de 2020, los usuarios de Coinbase se encontraban entre las víctimas del nuevo malware basado en Android diseminado a través de Google Play Store.