MALWARES VUELVEN A CREAR INSEGURIDAD

[Wimex]

  Los malwares volvieron hacer de las suyas;  un usuario de bitcoin  fue victima de un ataque cibernético recientemente, el reporte se realizo por Luis Nel, «aficionado de las criptomonedas y bloguero tecnológico», el cual comento en su cuenta de Twitter que la estafa le arrebato a su amigo identificado como «C» un total de 0.255 BTC equivalente a USD 10,000,   además le indico  a Cointelegraph que «Bitcoin de C fue enviado desde Kraken a VALR, un Exchange sudafricano", sin embargo, "el malware que se ejecutaba en su computadora interceptó los datos copiados e insertó una nueva dirección de billetera cuando pegó esto sin darse cuenta». Este tipo de engaño se volvió muy común desde que las criptomonedas empezaron a tomar cierto valor en el mundo de las finanzas; por ello es factible recordar cada que se pueda a las personas que realizan estos intercambios, que verifiquen cada paso que realicen dos veces y así evitar este tipo de acontecimientos tan desmotivadores, tal como lo dice Luis “Cuando trabajas con Bitcoin y criptomonedas, eres responsable de tu propia seguridad. Al copiar y pegar direcciones de billetera, siempre verifique los primeros cuatro a seis caracteres y los últimos cuatro a seis para asegurarse de que coincidan”.

¿Es posible que estos ataques aumenten con el paso del tiempo? ¿Qué posibilidades hay de que surja un programa que detecte estos malwares antes de cualquier transacción?




FUENTE: https://es.cointelegraph.com/news/bitcoin-stealing-malware-bitter-reminder-for-crypto-users-to-stay-vigilant

[1715154382]

1715154382

[DdmrDdmr]

Casi que me sorprende ver la noticia en Cointelegraph a estas alturas. El importe robado no es nada desdeñable, pero tampoco rompedor, y la mecánica lleva ya muchos años de vigencia (clipboard jacking).

Hay que verificar bien la dirección y los montantes del destino de una TX, pero sobretodo hay que evitar el punto de partida, que suele ser el de descargarse software pirata o darle a enlaces que activan ejecutables o macros. Hace poco vimos reportado como uno de los crakeadores de windows más conocidos, el KMS, venía en algunos casos embebido con otro software malicioso.

Los antivirus pueden mitigar estas situaciones, pero no está garantizado ni mucho menos. Es más, para instalar software pirata, se suele pedir desactivar el antivirus, quedando expuesto a su instalación. Reitero, que es más importante ser tremendamente consciente y cauteloso con lo que se baja (y ojo si hay varios usuarios accediendo al equipo) que otra cosa.

Por cierto, que hasta ciertos antivirus pueden estar bajo sospecha en los tiempos que corren …

Nota: En el artículo no se indica cómo se sospecha se llegó a instalar el malware. Indica que se quitó, pero que persistía (ergo no se quitó).

[famososMuertos]

OP: Hay que tener más precaución están ocurriendo muchas cosas en segundo plano, literal, tanto offline como online, días de incertidumbre por donde se le mire, y muchas noticias reflotan en versión de re-escritas y/o actualizadas a lo que se esta viviendo.

Como bien dice Ddmr ya hay un antecedente documentado, en cuanto a lo del antivirus, hasta tema de sponsor involucrado, el conflicto se extiende tal cual contagioso este cualquier cosa relacionada a los rusos o ucranianos.

En general sin importar lo que se tenga instalado no solo a nivel de antivirus, sino de SO, la revisión manual en este caso funciona muy bien, siempre es bueno revisar lo que se cree una esta copiando es lo correcto.

[Silberman]

Pues como ya se ha mencionado este modus operandi no es nada nuevo, sin embargo, continuará siendo efectivo para los hackers, después de todo ¿Alguien se ha tomado el tiempo de tratar de escribir una dirección bitcoin carácter por carácter? Porque al menos en mi caso no es así, uso el clásico copy & paste como la mayoría, ahora bien, checo cada carácter y me aseguro de que estén correctos para evitar problemas.

Sin embargo, una vez la adopción crezca más y el uso de bitcoin se vuelva rutinario estos ataques seguirán siendo efectivos, pues es dudoso que las personas se vayan a tomar un minuto de su tiempo cada vez que quieran comprar un café u otro artículo de bajo valor como ese para checar que no haya alguna discrepancia en la dirección a la que queremos enviar nuestro bitcoin.

Por último, añadiría que checar algunos pocos caracteres al principio y al final no es suficiente, dado que según recuerdo había versiones más avanzadas de este malware que podían remplazar la dirección destino con una dirección que empezase con los mismos caracteres, derrotando este método de protección, dejándonos con ninguna otra alternativa más que verificar todos los caracteres uno por uno.

[DdmrDdmr]

Diría que de la práctica de copiar/pegar la dirección no se libra nadie, y que el quid de la cuestión (más allá del control excelso en lo que se descarga e instala) está en verificar la dirección antes de confirmar la TX, siendo disciplinados en ello. No obstante, tal y como indica @Silberman, esta tarea precisa de exhaustividad, y presumible habrá muchos escenarios cotidianos en los cuales uno no la lleve a cabo por el empuje del momento (no es lo mismo cómodamente en casa que en una cola para pagar).

En el ámbito de los pagos BTC, también tenemos de manera frecuente que contemplar el rol de los códigos QR. Quizás el riesgo del clipboard jacking se mitigue con este método (no tengo claro si incluso se erradica), pero abre otras posibilidades a vigilar de cerca por parte del pagador (y más aún para el emisor del código QR).

[LUCKMCFLY]

Me sorprende porque ya este tipo de Virus es como si contuviera Inteligencia Artificial, por lo general siempre que se hace una transacción me aprendo los 3 primeros dígitos de la dirección a enviar y los 3 últimos, esto lo hago yo a medida de protección , es algo natural, pero si es necesario verificar varias veces hasta estar más seguro, lo que no comprendo es cuánto es el tiempo de vida de este tipo de virus o malware, y bueno si era de un exchange sudafricano o si es de un origen no común hay que ponerle la lupa, este tipo de casos suele ocurrir en los exchanges descentralizados cuando hay muchos que se dedicana lanzar contratos con nombres muy similares a los de monedas que estén a punto de hacer un buen pump, no es descartable si a ese usuario "C" se habrá confundido de esa manera.


Entonces si las cosas se agravan, lo más seguro es entrar a hacer una transacción de BTC casi que con el protocolo que se debe tener montado para entrar en la darkweb, hacerse una infraestructura de ese estilo, sobre todo con una máquina virtual.

[famososMuertos]

...//..,, lo que no comprendo es cuánto es el tiempo de vida de este tipo de virus o malware,

Tiempo de vida...? bueno, definir eso es fácil, cuando lo eliminas de tu PC.

...//,,,,
y bueno si era de un exchange sudafricano o si es de un origen no común hay que ponerle la lupa...
...//,,,

El origen es informático y su ejecución es gracias a un hacker, que utiliza distintas vías para que tu caigas en el clic y se pueda ejecutar con éxito en una PC. Asì que tener un buen antivirus y SO actualizado entre otras acciones son básicas para mantenerse lejos de un malware.

Mencionan el exchange porque fue el destino usado para el cambio de direcciòn.

...//...,,,
, este tipo de casos suele ocurrir en los exchanges descentralizados cuando hay muchos que se dedicana lanzar contratos con nombres muy similares a los de monedas que estén a punto de hacer un buen pump, no es descartable si a ese usuario "C" se habrá confundido de esa manera.
...//:::

Bueno hay distintas maneras de que te llegue un malware a tu Pc, teléfono, etc. Pero en este caso preciso es del tipo como mencionan arriba "clipboard jacking" lo horrible de este virus es que muchas veces por su simpleza pasa desapercibido, ya que es un simple copy y pegar, en ese proceso se cambia la dirección destino.

Creo que este tipo de virus se puede confundir con los clásicos keyloggers que copian todo lo que escribas o el uso extendido del teclado.

En este caso que nos atañe es también conocido como Secuestrador de portapapeles.

Este se disfraza de un programa aparentemente inofensivo que la víctima acaba descargando sin saber su verdadera naturaleza. Una vez en el equipo, también secuestra el portapapeles, pero con instrucciones de reemplazo muy específicas: en lugar de dejar algún link o no permitir nuevos datos, el CryptoShuffler detecta cuando se copia la dirección de un monedero de criptomonedas (línea alfanumérica bastante característica) y la reemplaza por otra, perteneciente al hacker, para que el usuario desprevenido envíe allí los fondos en lugar de al destinatario legítimo.

^{Fuente:https://www.criptonoticias.com/criptopedia/malwares-hackeos-comunes-bitcoin-criptomonedas/}

En la cita mencionan a CryptoShuffler, un villano conocido desde el año 2017, pero el nombre es lo de menos, ya que sin importar su procedencia o nombre, es lo que este realiza.

Esa fuente es bastante completa pues menciona el Cryptojacking, Ransonware, Keyloggers, Ratas, Hackeos a Exchange, acceso Wifi, secuestro de DNS, Bugs en contratos inteligentes (algo mencionas por ahí, creo) en realidad la fuente es extensiva a Malwares e incluye hackeos.

El medio de ataque o técnica puede cambiar y en consecuencia el proceso puede ser diferente, pero el objetivo siempre es el de obtener beneficios económicos. A veces se ponen de moda algunos, los malware siempre están ahì y los hackeos son populares dependiendo de la cantidad o del cliente que perjudican, ya sea individuo o empresa.

Creo que seguir los pasos de seguridad clásicos y mantener un adecuado uso del clic es de por si la moda a seguir siempre.

[Hispo]

Casi que me sorprende ver la noticia en Cointelegraph a estas alturas. El importe robado no es nada desdeñable, pero tampoco rompedor

Depende a quien le preguntes 

[DdmrDdmr]

<…>

Un aspecto a ponderar sería el del grado de validez de los antivirus como defensa ante este tipo de ataques. Tenerlo activo y actualizado da cierta sensación de seguridad, pero no son infranqueables – dependerá de la técnica usada por el virus/malware, las contramedidas del antivirus en concreto usado, el momento del ataque (cuanto más nuevo, menos controlado), lo actualizado que esté el antivirus, etc.  No estoy diciendo que no sirvan, todo lo contrario, son importantísimos, pero son elementos de acción más bien reactivos, y gran parte de nuestras defensas debería focalizarse en la proactividad de instalarse lo menos imprescindible, y no bajarse fuentes con fiables.

<…>

Efectivamente, el importe de 0.255 BTCs no es pequeño para muchos, pero bajo el prisma de reiterar sobre una noticia que versa acerca de algo que no ha dejado de suceder en años, bajo el punto de vista macro-informativo, no es de las cifras que pensaría llamaría la atención a la prensa del medio.

[LUCKMCFLY]

...//..,, lo que no comprendo es cuánto es el tiempo de vida de este tipo de virus o malware,

Tiempo de vida...? bueno, definir eso es fácil, cuando lo eliminas de tu PC.

...//,,,,
y bueno si era de un exchange sudafricano o si es de un origen no común hay que ponerle la lupa...
...//,,,

El origen es informático y su ejecución es gracias a un hacker, que utiliza distintas vías para que tu caigas en el clic y se pueda ejecutar con éxito en una PC. Asì que tener un buen antivirus y SO actualizado entre otras acciones son básicas para mantenerse lejos de un malware.

Mencionan el exchange porque fue el destino usado para el cambio de direcciòn.

...//...,,,
, este tipo de casos suele ocurrir en los exchanges descentralizados cuando hay muchos que se dedicana lanzar contratos con nombres muy similares a los de monedas que estén a punto de hacer un buen pump, no es descartable si a ese usuario "C" se habrá confundido de esa manera.
...//:::

Bueno hay distintas maneras de que te llegue un malware a tu Pc, teléfono, etc. Pero en este caso preciso es del tipo como mencionan arriba "clipboard jacking" lo horrible de este virus es que muchas veces por su simpleza pasa desapercibido, ya que es un simple copy y pegar, en ese proceso se cambia la dirección destino.

Creo que este tipo de virus se puede confundir con los clásicos keyloggers que copian todo lo que escribas o el uso extendido del teclado.

En este caso que nos atañe es también conocido como Secuestrador de portapapeles.

Este se disfraza de un programa aparentemente inofensivo que la víctima acaba descargando sin saber su verdadera naturaleza. Una vez en el equipo, también secuestra el portapapeles, pero con instrucciones de reemplazo muy específicas: en lugar de dejar algún link o no permitir nuevos datos, el CryptoShuffler detecta cuando se copia la dirección de un monedero de criptomonedas (línea alfanumérica bastante característica) y la reemplaza por otra, perteneciente al hacker, para que el usuario desprevenido envíe allí los fondos en lugar de al destinatario legítimo.

^{Fuente:https://www.criptonoticias.com/criptopedia/malwares-hackeos-comunes-bitcoin-criptomonedas/}

En la cita mencionan a CryptoShuffler, un villano conocido desde el año 2017, pero el nombre es lo de menos, ya que sin importar su procedencia o nombre, es lo que este realiza.

Esa fuente es bastante completa pues menciona el Cryptojacking, Ransonware, Keyloggers, Ratas, Hackeos a Exchange, acceso Wifi, secuestro de DNS, Bugs en contratos inteligentes (algo mencionas por ahí, creo) en realidad la fuente es extensiva a Malwares e incluye hackeos.

El medio de ataque o técnica puede cambiar y en consecuencia el proceso puede ser diferente, pero el objetivo siempre es el de obtener beneficios económicos. A veces se ponen de moda algunos, los malware siempre están ahì y los hackeos son populares dependiendo de la cantidad o del cliente que perjudican, ya sea individuo o empresa.

Creo que seguir los pasos de seguridad clásicos y mantener un adecuado uso del clic es de por si la moda a seguir siempre.

Muchas gracias @famosos Muertos como siempre con posts excelentes y respuestas que ayudan bastante, en mi caso tengo un congelador, el Deep Freezer, lo cual cuando apagas tu PC lo que hace es borrar todo lo que se hizo, la única manera es guardar el trabajo hecho en una partición, así que si entra un virus es como si nunca hubiece entrado, esto lo tomé como precausión cuando mi navegador se ralentizaba por todo, algunas personas usan para Windows el Windows Defender, lo cual no es malo, otros el Iobit que es excelente, creo que ya están atacando a los ransonware, todo esto conlleva a que no se deje entrar ni un solo virus.

[famososMuertos]

.../Q/...:::/Q/:::

No al contrario, este tipo de respuestas a veces parecen personales como tipo esto es lo que debes hacer y en mi caso son generales en la idea, así que dado el usuario que eres en su capacidad de comprensión, uno trata de aprender también en la respuesta y que le sirva a la comunidad. Si no conociera tu capacidad de comunidad lo hubiere enfocado diferente, quizás sin quotes individuales

Si, conozco el software que nombras, de hecho por allá a inicios del siglo XXI, se usaba mucho (de donde lo conozco) en los negocios de "cibers o ciber café", venían por lo general en un CD "quemadito" software de gestión de tiempos PCs+ese DF, funciona bien en ese tipo de maquinas que no son personales.

[Artemis3]

Lo cual es bastante inútil durante el tiempo de actividad del equipo, que es mas que suficiente para los malware hacer y deshacer, e incluso dañar el deep freeze. Tu problema es Windows, pasan las décadas y aun no lo comprendes...

[DdmrDdmr]

Sólo por traer un caso para recalcar el riesgo que entraña bajarse software pirata. El caso viene de la mano de un miembro del foro que, muy probablemente, se ha visto infectado al descargarse e intentar instalarse un juego pirata.

Aunque no es seguro que este fuese el origen de sus problemas, sí que es algo muy probable que así fuese. Como resultado, aparte del mar de dudas que tiene respecto de cómo proceder, ha visto como:

-   Su Trust wallet ha sido vaciada (importe bajo, pero bueno).

-   Determinadas cuentas han sido tomadas por parte de terceros (cuenta de juegos, y de redes sociales).

A saber qué hay ahora en su máquina (keylogger, control remoto, etc.) como resultado, lo cual debe hacer recapacitar a quienes aún se bajan software pirata.

Por cierto, que si hay varios ordenadores en una red doméstica, los problemas de uno podrían llegar a afectar a los demás.

Ver: https://bitcointalk.org/index.php?topic=5410307.msg60772888

[Porfirii]

Todavía recuerdo aquellos días en los que los usuarios compartían software pirata por amor al arte. Supongo que en aquellos tiempos nadie pagaba todavía a través de Internet (¿qué es eso de meter mi número de cuenta/tarjeta bancaria en el ordenador, estamos locos?) y no era práctico o rentable económicamente insertar un virus, y que solo lo hacían los hackers que tenían ganas de fastidiar de manera gratuita.

Al ser ya generalizado el uso o incluso almacenamiento de las credenciales bancarias en el ordenador, y con el auge de las carteras de escritorio, esto cada vez será más común. Maldita sofisticación.

[DdmrDdmr]

Tampoco nos olvidemos de las Apps que nos descargamos, e incluso de las extensiones que añadimos a nuestros navegadores (que yo intento personalmente limitar al máximo). Se ve que estos días circula una que, camuflada como una extensión para trabajar con Google Docs, alegremente se dedica a cambiar las direcciones cripto que utilizamos desde el ordenador.

Específicamente, el artículo abajo referenciado cita que el cambio de dirección lo hace al detectar que interactúas con Coinbase, Kucoin, Binance y GateIO, pero vamos, que mañana es cualquier otra.

Ver:
https://medium.com/@walletguardofficial/web3-extension-malware-google-sheets-ac6d9fb6658d
https://bitcointalk.org/index.php?topic=5410664.0

[Artemis3]

¿Para que bajar software pirata cuando hay mucho Software Libre?

Con los teléfonos es un poco mas fastidioso porque no es tan fácil instalar f-droid, pero al lograrlo al menos tienes una fuente fiable de aplicaciones.

Son muy pocos los teléfonos que trabajan solo con software libre (y un sistema operativo libre), pero ese sería el ideal. Al menos se puede hacer ya en la PC.

[LUCKMCFLY]

¿Para que bajar software pirata cuando hay mucho Software Libre?

Con los teléfonos es un poco mas fastidioso porque no es tan fácil instalar f-droid, pero al lograrlo al menos tienes una fuente fiable de aplicaciones.

Son muy pocos los teléfonos que trabajan solo con software libre (y un sistema operativo libre), pero ese sería el ideal. Al menos se puede hacer ya en la PC.

Es que esto es lo ideal, lo que pasa es que no muchas personas les gusta, menos si les dices que es mejor trabajar con comandos, a mi la distribución Ubuntu me va muy bien, desde que la vi en el 3er semestre de la u me enamoré de Linux, para ese tiempo un amigo era tan bueno con la programación que le hizo muchas correcciones a Linux, la verdad no sé donde estará porque se dedicó fué a programar, lo que me gusta es que se soporta en la PC, y puedo elegir al inciar sesión , a veces no lo niego se me hace más fácil entrar y hacer cosas por Windows, pero últimamente los ataques han sido violentos, más con las cuestiones de crypto, además por experiencia propia les he puesto Linux a varias personas y no les gusta el ambiente, les parece complicado, y se van por Windows, pero si todos usáramos Linux ya no habrían problema alguno de  virus.

[Silberman]

¿Para que bajar software pirata cuando hay mucho Software Libre?

Con los teléfonos es un poco mas fastidioso porque no es tan fácil instalar f-droid, pero al lograrlo al menos tienes una fuente fiable de aplicaciones.

Son muy pocos los teléfonos que trabajan solo con software libre (y un sistema operativo libre), pero ese sería el ideal. Al menos se puede hacer ya en la PC.

Pues hay dos razones principales para eso, la primera es la ignorancia, la mayoría de las personas no tienen conocimiento de la existencia del software libre, para ellos tan sólo existe Windows y Mac y jamás han oído hablar de Linux, la segunda razón es simplemente la costumbre, una vez que has aprendido hacer algo de una cierta manera hay mucha reticencia a cambiar, aunque las diferentes distribuciones de Linux ahora son mucho más amigables con el usuario siguen teniendo alguna que otra complicación y las personas no quieren batallar, al primer signo de problemas deciden que prefieren volver a lo que ya conocían.

Ahora bien hay todavía más razones aunque me parecen que tienen menos influencia, por ejemplo las personas no toman en serio su seguridad en línea, realmente piensan que no tienen nada que ocultar y por lo tanto no toman ni la más mínima precaución, olvidando que la información en su computador es increíblemente valiosa para los hackers, y como sabemos Windows es mucho más vulnerable que Linux, también hay que reconocer que no todo software propietario tiene una versión libre aceptable y por lo tanto las personas se ven forzadas a usar Windows, ahora bien se puede intentar usar WINE para correr ese software pero si es demasiado intensivo cuando se trata de gráficas probablemente no vaya a funcionar muy bien.

[DdmrDdmr]

Es curioso como esto del malware para robar datos se convierte también, en algunos casos, en un servicio con cuotas de pago periódicas para los contratantes, además de facilidades en su uso y explotación, incluyendo Cuadros de Mandos para ver los datos que uno va robando por doquier.

Hoy he visto algunos posts y artículos respecto de un malware llamado Erbium, que de manera resumida, logra recopilar contraseñas de carteras crypto, contraseñas de cuentas bancarias, número de tarjetas, cookies, datos de autocompletados, ficheros, datos de geoposicionamiento, capturas de pantalla, ficheros, etc.

Se propaga por los medios convencionales de enlaces en correos, anuncios maliciosos, loaders de software pirata y demás, habiéndose detectado por ahora en España, Portugal, Francia Italia, Colombia y USA entre otros.   


Ver:
https://www.cyfirma.com/outofband/erbium-stealer-malware-report/
https://blog.cluster25.duskrise.com/2022/09/15/erbium-stealer-a-new-infostealer

[Hispo]

Quisiera llamar la atención de todos los que participan por aquí para dar a conocer una información que creo importante y relevante con el tema de este hilo, quizá muchos ya lo hayan visto.

Encontré un hilo abierto hace un par de meses de un usuario que clamaba haber encontrado una billetera de papel en la playa y para más asombro: cargada con BTC 0,6.

I know how this sounds,.. but I swear it's true... I saw and picked up what I thought was an odd looking piece of card in a dbl sealed plastic pocket whilst walking my dogs! The card inside was wet but legible and after drying it out I discovered it was a paper wallet (I have no idea about bitcoin or wallets aside from what I have discovered over last 24hrs,... which has led me here).
The paper wallet has 0.6 BTC. Some strange things have been known to wash up on this beach.  I suspect it was stolen and dumped by an ignorant burglar. It's there any way to identify from whom it came so I can return it? It seems pointless handing it into the police if they'll just destroy it....
I am in Victoria, Australia.
Thx

La discusión inicial del hilo se baso en formas teóricas de que hacer con los fondos, como de volverlos y la legalidad de conservarlos en caso de ser imposible encontrar el dueño original.

But since there's no way to know who they belong to, keep them for yourself and / or sell them.

This sounds horribly unethical. The coins don't belong to the OP. The original owner might have a backup and might try to move the funds once they notice that their paper wallet is missing.

La conversación da un giro brusco cuando se encuentra con una segunda wallet de papel, poco a poco se llega a la conclusión de que todo esto es un elaborado scam, básicamente fishing en la vida real, reemplazando la carnada típica de correo spam urgente con una wallet cargada en una pequeña bolsa plástica, aún no tengo 100% seguro como funciona la trampa, si quieren más información, lean el hilo.

I am not sure if this is directly connected with case of OP finding paper wallet or if this was posted before, but there is very similar situation happening in Melbourne, Australia.
This appears to be scam attempt with QR code with a key to access the account with alleged 0.62 BTC which can be withdrawn.
Printed address starting with 1LMy3... has total deposits of only 0.15 BTC if you look in blockchain explorer, and coins are flagged as fraudulent or scams.
This was posted on Bitcoin reddit channel, it's called “Printkey Wallet” and this is how it looks like:


https://www.reddit.com/r/Bitcoin/comments/wuf2ke/scam_found_these_littered_around_my_suburb_in/

Very similar amount and country like in case with OP.

Desconfíen de toda wallet que se encuentren "por casualidad".

Edit:

https://www.reddit.com/r/CryptoScamReport/comments/wemzws/comment/iiq7wo8/