Malware ElectroRAT dirigido a carteras de criptomonedas

[DdmrDdmr]

Normalmente, no me gusta ver un exceso de hilos con connotación negativa (cosa que sucede con frecuencia en Beginners & Help), no por que no deban avisarse de ciertas situaciones (Ledger fiasco, ransomware, wallets falsas y demás), sino porque visualmente hay momentos en los cuales la balanza no se compensa con hilos informativos o positivos, y esto da un mensaje excesivamente pesimista en ciertas secciones del foro, como la antes citada.

No obstante, de vez en cuando, si parece razonable dar una alerta acerca de lo que acecha por estos mundos, y no sólo en el ámbito cripto. Aspectos como el sim-swapping puede sucederle a cualquiera en el ámbito financiero, el malware está ahí para robar claves de los que sea, etc.

En este caso, y sólo a modo de concienciación puntual, parece interesante focalizar sobre el malware ElectroRAT, el cual lleva un año operativo sin haberse detectado. Esto denota que, si quieren, ni antivirus ni leches nos protege de todo lo que está a nuestro alrededor. La mayor protección la ejercemos nosotros mismos, con suma cautela de lo que nos bajamos, de dónde y para qué.

ElectroRAT es extremadamente intrusivo. Tiene varias capacidades como registro de teclas, tomar capturas de pantalla, cargar archivos desde el disco, descargar archivos y ejecutar comandos en la consola de la víctima. El malware tiene capacidades similares para sus variantes de Windows, Linux y MacOS.

ElectroRAT atrae a los usuarios de criptomonedas para que descarguen una aplicación troyanizada con publicaciones en redes sociales y foros de criptomonedas. Las aplicaciones troyanizadas se ven y funcionan como las populares aplicaciones de comercio de criptomonedas Jamm y eTrade. También hay una versión troyana de la aplicación de póquer de criptomonedas DaoPoker.

Una vez instalado, ElectroRAT intenta localizar las claves privadas de cualquier billetera de criptomonedas que se encuentre en el sistema de la víctima. Una vez que se roban las claves privadas de una billetera de criptomonedas, el atacante puede acceder a la billetera de la víctima como si fuera la suya.

Ahí es nada … nos pasan un enlace, nos bajamos un aplicación, y .. nos pulen las criptomonedas …

Cifran en como poco 6.500 las víctimas, que para un año no me parece una cifra tremenda (si no eres uno de los afectados), de ahí que quizás hayan podido pasar desapercibidos durante un año. No es para recordar esto a diario, pero sí de vez en cuando …


Ver: https://aplicacionesandroid.es/malware-electrorat/

[Porfirii]

Buen recordatorio para no instalar carteras de fuentes no verificadas, y para pararse unos segundos a pensar si merece la pena antes de instalar la wallet de algún proyecto de dudosa naturaleza que promete airdrops.

Tiene que haber de todo, noticias buenas y malas. Gracias por compartir.

[Csmiami]

Quizás sea meterse mucho en hipotesis navideñas; pero la forma de actuar del propio virus puede tener relación con el bajo número de casos. Me explico:

Un usuario "normal" no anda accediendo a sus claves privada de forma habitual. Sabiendo esto, se me ocurren solo un par de casos posibles para el robo:

-Accedes a la claves privadas, y evidentemente te las cepillan
-Creas un wallet nuevo con el virus previamente instalado, y en el momento de escribir la semilla, lo registra y te lo ventila (electrum, core no tiene semilla).

Sin embargo, en el caso de que el malware pueda enviar archivos completos de vuelta a su "base", los monederos creados previa infección estarían protegidos. En el caso de que si pueda, es solo cuestión de tiempo.

Por "suerte" parece que los usuarios de hardware wallets están protegidos salvo que les de por escribir la semilla o acceder a las claves privadas; cosa que quiero pensar no es algo habitual. Si fuese un clipboard malware o un malware que según detecta un wallet abierto envia todo a una dirección pre-programada; creo que estaríamos hablando de más casos

[famososMuertos]

Increíble pensar que no hay vacunas para ciertos virus "informáticos" cuando se le conocen. Pasan los años y el "control clic" sigue siendo la mejor prevención.

Esta noticia me ha puesto un poco en alerta, bien me dice siempre un amigo siempre; si los primeros en caer son los novatos por sus errados y confiados movimientos, pero que el ego y la confianza en exceso cuando se tiene experiencia te lleva a confiados movimientos y en el consecuente error.

Como sea hace dos días en un archivo txt en el cual copio una dirección antes de hacer el "copy-paste" en "To:" para hacer una revisión previa visual se cambio a una serie de codigos ASCII extendido, ahora bien no había borrado nunca los previos "copy-paste" asì que existían al menos unas 20 veces algo como esto:
3snnsdsd33443nm2mnn
3snnsdsd33443nm2mnn
3snnsdsd33443nm2mnn
3snnsdsd33443nm2mnn
...

Mis disculpa si la explicaciòn anterior no es necesaria para ustedes pero lo hago para terceros que nos lean, luego todas las direcciones se compilaron en una sola linea:
...  d
 h
 l
 p
„
 ˆ
 Œ
 �
 ”
 ˜
 œ
  
 ¤
 ¨
 ¬
 °
 ´
 ¸
 ¼
 À
 Ä
 È
 Ì
 Ð
 Ô
 Ø
 Ü
  ...

Ya hice los "primeros auxilios", revisiones y demás cuidados intensivos, es algo muy "raro" quizás porque no me había ocurrido algo parecido antes, pero debido a que no encontré nada sospechoso "lo deje asì" y leyendo esta noticia me ha hecho recordarlo, también darme cuenta que es un error dejar estas situaciones al clásico "...mmhh! misterioso" .

Alguna idea(!?)

[DdmrDdmr]

<…>

Tiene toda la pinta de que has abierto el documento con un editor distinto al cual usaste para guardarlo, por lo que estás viendo la información en el formato propietario del editor. Esto sucede cuando el editor utilizado no almacena en txt puro y duro.

Por ejemplo, si creas un documento en MS Word con esas direcciones de bitcoin, lo guardas (como Word), y lo abres con el Notepad, verás un contenido similar al que muestras. Si luego lo pegas en un post del foro, se parece todavía más (mirando el formato al redactar o quotear el post - lo de los cuadraditos con los números, que no se ven al publicar el post).
 
Ej/ ‚®Ö‚°Tiƒ’_÷+¥VЭ—ºAP¯‚j¥ß«= £¨8©ÙÚCø±Ï–«7÷f|çí}².µ/ŒyRæ¦.aóö¾Z³ÞÞgu2éyQ°Ì'�Ú°]o÷¥v½;,ùý^«Ô½R¿6ûÃ~´ÚÃ:1`¿[ýÆ UjTðä7*š~«]júµZ×ov[¿û`ekØùú{m^Ãëò?   ÿÿ PK     ! ¯ºÓ`¶  

Si lo has hecho tú o un proceso/rat es otro tema ...

[Silberman]

Es una verdadera pena pero como hemos sabido desde hace mucho tiempo mientras más suba el valor y la popularidad de las cryptomonedas esto simplemente se va a hacer aún más común, lo que nos debe llevar a pensar en soluciones para minimizar el riesgo de perder nuestros activos.

Una opción sin lugar a dudas son las hardware wallets sin embargo dado el escándalo por el cual está pasando ledger probablemente haya muchos usuarios que en estos momentos no tengan una gran confianza en estos dispositivos, una buena opción es que si por ahí tienes una vieja laptop a la que no se le de uso se le podría instalar una versión de Linux ligera que le permita correr de manera adecuada pero con un sistema operativo actualizado.

Una vez hecho esto se le puede instalar una cartera y depositar nuestras monedas ahí, después de esto simplemente habría que evitar usar esta laptop para ninguna otra cosa más que para actualizarla y hacer transacciones, y no instalar nada en esa laptop y ni siquiera usarla para navegar por Internet, aunque obviamente esto no aseguraría nuestras monedas en un 100% de los casos si nos protegería de las estafas y virus más comunes.

[DdmrDdmr]

Es cierto que Ledger la ha pringado, y bien, pero por otro lado, las hardware wallets siguen siendo de los elementos más seguros para utilizar. El problema es que el 99,9% de los compradores de hardware wallets lo hará dando sus datos de identificación completos, de la misma manera que lo haría en cualquier otro comercio electrónico (de ahí el hábito adquirido, que es casi un automatismo sin cuestionar la privacidad).

El que es avispado, usará datos falsos o anónimos en la medida de lo posible: teléfono falso (el del demonio es un buen recurso 666666xx), dirección de un apartado de correos o similar, nombre inventado. Tampoco es que sea sencillo lo anterior, y has de ser por un lado previsor y guardián de tu privacidad, a la par que estar seguro de que te llegue el producto con los datos inventados (y no sea rechazado por desconocido).

En un video al respecto, Andreas Antonopoulos aseveraba estar en la lista de clientes filtrados, pero indicaba que el teléfono era falso, la dirección relativa a un servicio proxy, y el nombre falso. Coincide en señalar que los dispositivos son de lo más seguro, pero que hay que cuidar la privacidad.

No obstante, el común de los mortales dará sus datos reales, y la información sobre el filtraje de datos tendrá un efecto más disuasorio respecto de comprar un Ledger, que concienciador acerca de intentar anonimizar las compras de este estilo en la medida de lo posible. Al fin y al cabo, es bastante incordio.

Con un hardware wallet, con un mínimo de precaución en su uso (comprobar bien las direcciones en pantalla y en su visor), ciertos problemas de seguridad deberían poder minimizarse.

[famososMuertos]

<…>

...//...:

Es un archivo de bloc de notas, tal cual sin hacer nada adicional se cambio el formato, tenia la dirección alfanumérica y luego al abrir nuevamente el archivo aparecen los códigos   ASCII extendidos.

[DdmrDdmr]

<..>

He probado con el notepad guardar con todas las combinaciones (Guardar Como -> y cambiar la Codificación para cada archivo guardado (UTF-8, UTF-8 con Bom, UTF 16 –LE, UTF 16 –BE, ANSI), y no logro reproducir el escenario. También los he abierto con WordPad por si acaso ,una vez creados con Notepad, y el único raro es el UTF 16 –BE, pero no con el mismo patrón.

No sé si te pasará ahora si parte de cero nuevamente (fichero txt nuevo) e iteras el proceso, pero sólo con notepad no parece que deba suceder …

[famososMuertos]

...//...:

Tengo otros archivos también hice el proceso desde cero y todo bien; realmente pienso que con lo raro que es, seria normal si hubieren sido todos los archivos .txt, repito no es normal pero que solo suceda con ese txt específicamente lo hace mas extraño todavía.

 

[DdmrDdmr]

<…>

Si hago un quote de tu post (el de los caracteres raros), veo los caracteres con símbolos raros (cuadrados con números dentro), que parecen Unicode Place Holders. Por ejemplo, veo los siguientes repetidos con frecuencia:

https://unicode-table.com/en/0001/
https://unicode-table.com/en/0002/

He visto varias referencias a cosas similares cuando falta la fuente gráfica, aunque supongo que tampoco va a ser el caso …