MALWARES VUELVEN A CREAR INSEGURIDAD

[DdmrDdmr]

<…>

La sección del foro donde está explicado el caso no la visito en demasía, por lo que no había visto el caso que has traído a la mesa (*). Tiene cierto grado de ingenio, y por lo que he visto, el consenso en el hilo es que el código QR que trae te lleva a un site, el cual te señala que para obtener los BTCs tienes que depositar una cierta cantidad primero.

Vamos, algo que no es novedoso en espíritu, pero que con el toque de haber encontrado algo físico, le puede dar algo más de "credibilidad" en relación a algo que encuentras o te llega por internet o correo electrónico.


(*) Si lo había meritado, en mi sMerit Spree número 25, pero el criterio que usé precisamente meritaba posts que no había meritado ni probablemente leído.

[1714161549]

1714161549

[Hispo]

<…>

La sección del foro donde está explicado el caso no la visito en demasía, por lo que no había visto el caso que has traído a la mesa (*). Tiene cierto grado de ingenio, y por lo que he visto, el consenso en el hilo es que el código QR que trae te lleva a un site, el cual te señala que para obtener los BTCs tienes que depositar una cierta cantidad primero.

Vamos, algo que no es novedoso en espíritu, pero que con el toque de haber encontrado algo físico, le puede dar algo más de "credibilidad" en relación a algo que encuentras o te llega por internet o correo electrónico.


(*) Si lo había meritado, en mi sMerit Spree número 25, pero el criterio que usé precisamente meritaba posts que no había meritado ni probablemente leído.

Aunque los scammers (en este caso los de Australia) estén tratando de reinventarse para sacar más dinero, el hecho de que la web requiera ese deposito para el retiro debería ser suficiente para que cualquiera que sepa como funcionan las llaves privadas detecte el engaño. Lo que me llama la atención es que el scammer tuvo la agudeza mental de utilizar una dirección con fondos como la supuesta clave pública de la wallet de papel (la carnada) sabiendo que alguien mínimamente enterado de Bitcoin primero revisaría el saldo (el cual parece estar efectivamente bajo el poder real del scammer); aunado a que luego de revisar el saldo la mayoría en el hilo dieron la wallet como verdadera y debatían sobre el mejor curso para regresar los satoshis, es decir, que a ese punto en la mente colectiva no se pensaba en un bait. Luego empezó la investigación y eso.

Si este scam logró convencer por un momento a personas que tienen un alto conocimiento de Bitcoin y que lidian con Scams muchas veces, ya te puedes imaginar que pasaría si esto lo encontrase una persona que solo ha visto sobre Bitcoin en las noticias ocasionales durante los bull markets.

[DdmrDdmr]

He localizado un hilo en Reddit de hace 4 meses (luego el timo ya lleva algún tiempo en circulación), donde una persona describe un poco mejor el proceso:

-   La paper wallet encontrada en la calle, en su caso, aparentaba tener 0,47 BTCs.

-   Tenía un QR para depósitos, y otro para retirada de fondos.

-   Aunque no lo explica muy bien, da la sensación de que el código QR realmente le llevó primero a un site ya inexistente (holonotewallet[punto]com), desde donde accionó el botón de retirada. Si buscamos la site en google entre comillas aparecen dos entradas pero sin dar acceso a la site. Tampoco hay versiones cacheadas ni archivadas.

-   La acción de retirada de la web anterior (o eso entiendo) te lleva a nowpayments[punto]io, una plataforma para aceptar pagos cripto. Funciona algo así. Allí, le pedía el 0,5% del valor de los BTCs (que pagó).

-   La dirección BTC es la misma que la referenciada en el hilo del foro al respecto.


La plataforma de pagos, si no me equivoco, tiene KYC, por lo que el timador o es un poco pardillo (que no lo parece), o habrá usado datos falsos.

Ver: https://www.reddit.com/r/CryptoCurrency/comments/v07x85/weird_genius_or_dumb_af_scam_alert_public_service/

[Hispo]

He localizado un hilo en Reddit de hace 4 meses (luego el timo ya lleva algún tiempo en circulación), donde una persona describe un poco mejor el proceso:

-   La paper wallet encontrada en la calle, en su caso, aparentaba tener 0,47 BTCs.

-   Tenía un QR para depósitos, y otro para retirada de fondos.

-   Aunque no lo explica muy bien, da la sensación de que el código QR realmente le llevó primero a un site ya inexistente (holonotewallet[punto]com), desde donde accionó el botón de retirada. Si buscamos la site en google entre comillas aparecen dos entradas pero sin dar acceso a la site. Tampoco hay versiones cacheadas ni archivadas.

-   La acción de retirada de la web anterior (o eso entiendo) te lleva a nowpayments[punto]io, una plataforma para aceptar pagos cripto. Funciona algo así. Allí, le pedía el 0,5% del valor de los BTCs (que pagó).

-   La dirección BTC es la misma que la referenciada en el hilo del foro al respecto.


La plataforma de pagos, si no me equivoco, tiene KYC, por lo que el timador o es un poco pardillo (que no lo parece), o habrá usado datos falsos.

Ver: https://www.reddit.com/r/CryptoCurrency/comments/v07x85/weird_genius_or_dumb_af_scam_alert_public_service/

Confirmado entonces que se trata de un esquema de phishing, pero en el mundo real.
Por cierto, algo extraño que el scammer utilice una página de pagos de terceros para recibir el dinero, un esfuerzo como este con los riesgos intrínsecos de ser atrapados tirando las wallets y de estar cometiendo un crimen desde y dentro de una misma jurisdicción hubiese sido meritorio de una puesta en escena de una página falsa hecha por el propio scammer para recibir los pagos directamente. Dudo que hubiese utilizado sus datos reales, pero el hecho de que tuvo que proporcionar algo ya es una pista más que podría usarse para dar con su paradero, aunado a que ya se sabe su zona geográfica aproximada, como he dicho, por mucho menos gente mal intencionada se ha inventado canales de pago falsos y páginas clónicas. Ojala su estupidez/pereza acelere su caída.

Espero que esto no sea el inicio de una tendencia en otros lugares del mundo, temo que otros scammers más competentes adopten y refinen la técnica. 

[DdmrDdmr]

He intentado ver si el caso se ha reportado fuera de Australia, o bien con anterioridad a este pasado verano, y no he visto nada. Como método conceptual no es nuevo: mándame x para obtener el acceso a Y bitcoins. Lo que no me constaba era hacerlo a través de paper wallets, para darle un toque físico al timo.

No me extrañaría ver el timo replicado en más partes. La clave (ironía) es en poder generar una paper wallet sin usar una de esos sites que generan la clave privada por ti, y que resultan ser un timo a la postre, sino un riesgo persistente para los fondos del dueño.

[seoincorporation]

Desconfíen de toda wallet que se encuentren "por casualidad".

Creo que debemos desconfiar de todas las direcciones y wallets en la que nosotros no seamos los creadores y dueños de las llaves privadas.

En el pasado he visto como personas utilizan tarjetas con NFS para bitcoin las cuales fueron enviadas por paquetería pero al final los creadores también tenían las llaves privadas... Un día simplemente desapareció la compañía y tomo todos los fondos de las tarjetas.

[Hispo]

-snip-

Yo personalmente es la primera vez que veo algo como esto y a juzgar por la reacción de los usuarios más veteranos del foro en el hilo donde se reportó esto originalmente me da a entender de esta es una escalada o evolución nueva de la estafa del galeón español o el príncipe nigeriano.

Desconfíen de toda wallet que se encuentren "por casualidad".

Creo que debemos desconfiar de todas las direcciones y wallets en la que nosotros no seamos los creadores y dueños de las llaves privadas.

En el pasado he visto como personas utilizan tarjetas con NFS para bitcoin las cuales fueron enviadas por paquetería pero al final los creadores también tenían las llaves privadas... Un día simplemente desapareció la compañía y tomo todos los fondos de las tarjetas.

Suena bastante grave, me gustaría leer más al respecto. ¿Tienes algún artículo que puedas compartir al respecto?
Pregunto porque hace como un año o dos vi una compañía que efectivamente vendía tarjetas NFC para la transferencia off-chain de Bitcoin y otras criptomonedas (muy bonitas por cierto), quiero saber si se trata de esa misma compañía que se publicitaba por medio de reviews en canales cripto.

[DdmrDdmr]

En el ámbito del malware, una de las fuentes que conocemos como una entrada frecuente son las apps falsas y las maliciosas que nos encontramos en los stores, siendo Google Play uno de los focos importantes de distribución. Por mucho que pongan nuevos controles y reglas, hay maneras de pasar cualquier control con piel de cordero.

Así es el caso de los Droppers Troyanos, los cuales se disfrazan de app de utilidad, con la capacidad de bajarse e instalar el verdadero troyano.

En este artículo habla extensamente de este tipo de apps maliciosas, cuyo foco principal suele ser la de obtener datos bancarios o de criptomonedas. Si miramos los listados de “Sharkbot/Vultur Targets” en el artículo, veremos no pocas referencias a wallets de criptomonedas …

[Hispo]

-snip-

Tristemente la tienda de aplicaciones de Google desde ya hace mucho tiempo se se asocia a todo tipo de apps de mala calidad y virus disfrazados, a veces el disfraz es tan malo que uno se pregunta como no se le cae la cara de vergüenza al publicador; ofreciendo juegos de PC de gama relativamente alta, supuestamente optimizados para android, solo para caer en cuenta de que es un agente encriptador ransomware.

La mala fama en ese aspecto de la Play Store hace contraste con la tienda de Apple, la cual pareciera que le ponen más cuidado a sus filtros de calidad y seguridad, según lo que he leído por allí.

Por cierto, estos últimos días tuve mi primera experiencia lidiando con ransomware, una memoria USB de mi padre que sin saberlo infecto y el resultado fueron todos su archivos ilegibles por medio de un cifrado de 256 bits.

[DdmrDdmr]

<…>

¡Joder! (con perdón) … ¿El sistema llegó a pedirle un rescate mediante BTC (o afín)?

Los USB son un foco importante potencial de entrada de virus y troyanos en nuestros ordenadores, máxime si se han utilizado en entornos compartidos (colegios, bibliotecas, etc.). Supongo que no será el caso, habiendo wallets afectadas, pero aprovechando el dichoso infortunio que comentas, y generalizando, es un motivo más para no almacenar las semillas de las carteras en un dispositivo tipo ordenador.

[Hispo]

<…>

¡Joder! (con perdón) … ¿El sistema llegó a pedirle un rescate mediante BTC (o afín)?

Los USB son un foco importante potencial de entrada de virus y troyanos en nuestros ordenadores, máxime si se han utilizado en entornos compartidos (colegios, bibliotecas, etc.). Supongo que no será el caso, habiendo wallets afectadas, pero aprovechando el dichoso infortunio que comentas, y generalizando, es un motivo más para no almacenar las semillas de las carteras en un dispositivo tipo ordenador.

Para el momento en que me pidió ayuda ya la encriptación estaba hecha y no había ningún txt pidiendo rescate, así que asumo que debió haberlo cerrado sin saber que era durante su turno en el trabajo.

Por otro lado aprendí algunas cosas interesantes, sobre esta clase de amenazas que quizá te interesen:

1. Existen páginas que recopilan herramientas de desencriptado para ransomware específicos, tengo entendido que estos se hicieron con la ayuda de hackers de sombrero blanco que descubrieron un error en el algoritmo de encriptado usando por los criminales, aquí hay un ejemplo ofrecido por avast. En mi caso, se trató del ransomware de nombre "Ako", no figuraba en los recopilados.

https://www.avast.com/ransomware-decryption-tools#pc

2. Logré rescatar todos los PDFs de mi padre que estaban en el pendrive con la ayuda de un programa llamado "Recuva". Debido a que el ransomware copia, encripta y luego elimina los archivos originales, una herramienta de recuperación de archivos borrados puede ser útil para traer algo de regreso. En el caso de las hojas de excel, archivos word e imágenes, no pude recuperar ni uno.

3. Creo que el modus operandi de este ransomware es estar seguro de que la encriptación se realiza mientras hay acceso a internet por parte de la victima.
Lo primero que hace es crear copias .exe de los archivos, con el mismo nombre e icono, de tal forma que la victima haga click en ellos y envíe la orden automática a través de la red al servidor del hacker. Probablemente esto se hace para que la llave de cada víctima sea única, así como el ID de identificación para el rescate.

Apenas noté esto, supe que lo ideal fue lidiar con el ransomware con la PC desconectada al Wi-Fi. Todo esto lo supe por un segundo pendrive, también infectado, pero donde el encriptado no se había trigerado, sin embargo estaba lleno de esos clones .exe. Ese si pude limpiarlo y conservar toda la información.

[DdmrDdmr]

Un software que se referencia frecuentemente es el de Iancoleman, el cual permite convertir nemónicos BIP39 a direcciones y claves privadas. No es algo que haya utilizado personalmente, pero de vez en cuando lo ves referenciado en un post o artículo.

Como no, desde hace años, hay sitios falsos que clonan el software a partir del repositorio en GitHub, lo modifican ligeramente, y almacenan los datos que generes o introduzcas para ver si se pueden hacer con los BTC de los incautos.

Aunque he visto que la práctica lleva sucediendo desde hace ya algunos años, la lectura de este hilo da una idea de qué nos podemos encontrar si acabamos en la URL equivocada, sea inducida a partir de un Ad de Google, bien en los resultados de una búsqueda.

[Hispo]

-snip-

Gracias por dar el aviso, como siempre.

Yo no había visto ese hilo, pero creo que para nosotros que llevamos ya algunos meses tenemos como una de las reglas fundamentales en tener cuidado cuando se buscan esa clase de servicios en Google o cualquier otro buscador.

Por otro lado, esto podría utilizarse para abrir un debate sobre la explotación de programas de open source para la creación de esquemas de fishing relativamente sofisticados. Aunque creo que en el ecosistema de Bitcoin el código libre es fundamental, también facilita demasiado la inserción de líneas de código maliciosas como esa.

A veces me gustaría poder tener los conocimientos técnicos y tiempo libre para poder hacer auditoría personal del código de las wallets que llegase a usar. 

[DdmrDdmr]

<…>

El tema del código abierto es que, a la postre, para el común de los mortales, uno ha de fiarse del "criterio de revisión de otros", de que no incluya nada malicioso en la versión base ni en las actualizaciones subsiguientes. Es decir, uno puede llegar a mirarse todo el código y/o comparar versiones para ver las diferencias, partiendo de un punto considerado como bueno, pero a ver quién es el guapo que lo revisa personalmente.

Teóricamente, uno diría que es mejor que sea código abierto por principio de posibilitar la revisión por parte de terceros, pero tendríamos que ver el tiempo que realmente se tarda a nivel de comunidad en detectar algún cambio maligno en el código. Mínimo, por prudencia, probablemente no sea bueno ser de los que se actualizan las versiones a toque de pito – más que nada para que dé tiempo para que alguien pueda dar la voz de alarma (si es que lo revisan el software abierto determinado.)

Tal y como comentas, el caso del clonado con modificación es una claro punto débil, tal y como se observa en este caso.

[DdmrDdmr]

De vez en cuando, alguno de los que está detrás del malware de cierto tipo es pillado. En el artículo de más abajo cita como el FBI ha pillado al responsable de Raccoon Infostealer (el cual por cierto también se alquilaba como servicio para quienes quisiesen propagarlo para su rédito propio). El software se hacía sobre todo con credenciales de acceso a correos electrónicos, cuentas bancarias, tarjetas y direcciones de criptomonedas (entiendo que se refiere realmente a credenciales de Exchanges).

El FBI ha creado una página para que uno introduzca su correo electrónico y vea si ha sido afectado por el software (si es que quiere proporcionarles datos a la agencia) ...


Ver: https://www.lavanguardia.com/tecnologia/20221104/8593577/el-fbi-resuelve-uno-de-los-casos-mas-grandes-de-cibercrimen-el-hacker-y-su-pareja-publicaban-sus-movimientos-pmv.html

[darxiaomi]

En otro foro encontre esto.

Creo que es mas o menos el hilo indicado para pedir una recomendacion de gente mas entendida, en su momento recuerdo que se charlo aca sobre los cracks de office.

Code:

usen el activador para las licencias de microsoft (https://github.com/massgravel/Micros...vation-Scripts), lo recomendaron aca y andan joya
Solo un extracto del KSM que usa

Código:

for %%a in (%srvlist%) do if not defined _portcon (

%psc% "$t = New-Object Net.Sockets.TcpClient;try{$t.Connect("""%%a""", 1688)}catch{};$t.Connected" | findstr /i true 1>nul && set _portcon=1
set _portcon=

Buena suerte bro, despues salen todos llorando mi ribirin tidis lis crypti

El peor consejo 20XX inserte su a;o aqui

Yo no entiendo nada de programacion, ustedes que opinan? es realmente peligroso? Otros usuarios comentaban que les pelaron dos billeteras por usar Windows truchos.

[DdmrDdmr]

<…>

Realmente es KMS (no KSM). Lo digo por si uno hace búsquedas en Google, encontrará más entradas de la primera forma.

A ver, estos crackeadores puede que funcionen por lo menos durante unos meses, y en mi época de usarlos, recuerdo que cada x tiempo tenías que volver a buscar uno nuevo, dado que alguna actualización de Microsoft lo hacía inservible.

El problema mayor es que frecuentemente, y más aún hoy en día, cuando te instalas el KMS, el instalador va y te instala los regalitos. Es decir, puede que te instales el KMS y estés más contento que un ocho habiéndote ahorrado el coste de la licencia, pero de manera latente, te puedes haber instalado malware, que además se va actualizando sin que te enteres.

De ahí que hemos visto en incontables veces como uno ve que algún tipo de malware se ha hecho con sus credenciales bancarias, de Exchange o de su correo electrónico, o bien directamente ha instalado un RAT (control remoto) para hacerse con lo que fuese (billeteras cripto, etc.), cuando no te llevas el caramelo del ransomware.

Una cosa es jugártela en un ordenador viejo sin conexión a la red, y sobre cuyo contenido no tengas nada privado ni de valor (ej/ ordenador sólo para juegos pirata), u otra cosa es instalarlo en tu ordenador doméstico desde donde accedas a bancos, comercios, Exchanges, correo, billeteras de BTC (et al) y demás.

[DdmrDdmr]

No sé si alguien por aquí usará bots de trading para los cuales se les otorgue permisos sobre las API Keys de nuestras cuentas en Exchanges (los que tengan), pero citar que esta es otra fuente más para que las cuentas sean drenadas, sobre todo si uno se da de alta en una web de phishing en lugar de la intencionada del bot de trading …

Se ve que hay varios casos recientes de lo anterior, donde la persona quería darse de alta en bots del estilo de 3Commas y Skyrex, y acabó cediendo sus API keys de Exchanges tales como FTX (ejem…), Binance and Coinbase a los impostores. Con el control de la API keys, drenaje al canto.

Ver:
https://www.fxstreet.com/cryptocurrencies/news/binance-coinbase-and-ftx-users-hacked-by-false-trading-bot-platforms-cz-says-delete-api-keys-202211140847

[darxiaomi]

Eso siempre fue una cosa que me llamo muchisimo la atencion.

Si bien no me dedico a eso, ver gente que descarga cualquier bot para que opere con todo control..... es casi pedir que te roben.

Pero bueno digamos que hoy en dia uno nunca sabe cuando esta a salvo ya con nada.

La guerra cybernetica nos puede afectar a todos

[DdmrDdmr]

No se si alguien lo tiene más claro, pero he mirado por encima la documentación de las API de Trading de 3 Exchanges, y los únicos límites que he visto son los relativos a su uso (número de llamadas por unidad de tiempo), pero no he visto nada respecto de cómo delimitar los importes sobre los cuales cedes el control a las API a partir de tus saldos en la cuenta asociada en el Exchange.

Está claro que deben aplicar los límites diarios/semanales/mensuales de la cuenta, pero si alguien, pongamos por ejemplo, tiene 10 BTCs en el Exchange (por ser trader activo o despistado con su seguridad), si su cuenta pudiese pulirse los 10 BTCs en trading en un día, ¿la API también?

Parecería lógico que uno pudiese "ceder" el control a la API sobre cantidades delimitadas del saldo en las monedas, pero me ha parecido que no, que va sobre lo que tengamos (conforme a los límites de la cuenta).
Ojo, no hablo sobre los límites propios del bot de trading, que se puede parametrizar por diferentes conceptos, estableciendo límites de trading, sino de la API en sí.

Ver por ejemplo: https://www.binance.com/en-NZ/support/faq/api-frequently-asked-questions-360004492232