Malware del portapapeles como servicio de suscripción

[DdmrDdmr]

Hemos visto que los hackers desarrollan productos para que otros con menos conocimientos técnicos puedan hacer sus fechorías, alquilando el acceso al software desarrollado. Esto sucede también en aspectos algo nicho, pero peligrosos para todos, como es el clipboard jacking.

En el primer artículo abajo referenciado, narra cómo se anuncia en ciertos foros la posibilidad de contratar un malware llamado Laplas Clipper para cambiar las direcciones de BTC y de otras criptomonedas de los usuarios en su portapapeles, por las del maleante de turno. El malware se distribuye por los canales habituales (generalmente emails de spam con adjuntos, pero también torrents por ejemplo), y para el contratante del servicio, se le ofrece un panel de control desde el cual ver cuántas máquinas han sido infectadas con su instancia del software, y qué direcciones ha logrado modificar.

Según narra el segundo artículo, el sistema intenta crear direcciones lo más parecidas posibles a la dirección del usuario, aunque no está claro cómo lo realizan exactamente, y posiblemente sea una sobreventa de las capacidades, habitualmente ceñidas a caracteres iniciales y/o finales coincidentes.

Ver:
https://blog.cyble.com/2022/11/02/new-laplas-clipper-distributed-by-smokeloader/
https://www.bleepingcomputer.com/news/security/new-clipboard-hijacker-replaces-crypto-wallet-addresses-with-lookalikes/

[1714677316]

1714677316

[1714677316]

1714677316

[Hispo]

Podemos decir que definitivamente estamos en una nueva era cuando ahora tenemos películas y series como servicio de suscripción, juegos como servicio de suscripción, software de diseño gráfico, los productos de Microsoft Office y pare de contar, todo como servicio de suscripción.

Así que asumo que esta evolución del software malicioso era un paso natural a como se mueven las cosas, además que es un modelo de negocio que le conviene al hacker, al no involucrarse directamente en el robo, solo el proveer software.

Aunado a esto, también quisiera hacer el paréntesis de que aunque las billeteras frías protegen del robo de las seed, igual tenemos que estar atentos al momento de copiar y pegar, utilizar la wallet física para revisar la dirección incluso antes de enviarla.

Ese feature de hacer que las direcciones sean similares al momento del reemplazo puede ser algo que los hackers vendan con letra pequeña, solo sería una opción si el comprador mal intencionado posee suficiente potencia computacional y del tiempo que tarde la victima entre copiar y pegar el portapapeles. Considerando que la mayoría solo tardará unos pocos segundos, creo que solo bastaría para hacer match de algunos caracteres en el comienzo de la address.

[Porfirii]

De lo malo malo, creo que aquí quien más quien menos estaremos atentos a las direcciones que cortamos y pegamos, mirando a ver si coinciden, pues es algo que venimos comentando hace tiempo. Esto del MaaS (malware as a service?) ya me parece más heavy, un siguiente paso que puede hacer que se multipliquen los ataques, para beneficio de malhechores y desgracia de newbies.

Desde aquí seguiremos insistiendo en la existencia de estas herramientas y cómo evitar que, quién lo lea, caiga. Pero si las crypto siguen popularizándose, se va a crear un caldo de cultivo muy atractivo para quienes no tienen escrúpulos.

[DdmrDdmr]

Lo estaba pensando, y ya sólo faltaba que se le pusiese más fácil a los cacos de turno, que ya no requieren tanto conocimiento técnico para cometer sus fechorías. De hecho, de manera puntual, el otro día estuve mirando en un foro de este palo, y sorprende la cantidad de lecturas que tienen los posts donde ofrecen tal o cual servicio o base de datos.

En cuando a las direcciones BTC (et al) , creo recordar que siempre he comprobado visualmente todos los caracteres al transaccionar, y uno aprende a no conformarse con los códigos QR leídos, que no me extrañaría pudiesen también entrar en la rueda de los cambios que pudiese abordar algún malware que otro.

[Hispo]

...
En cuando a las direcciones BTC (et al) , creo recordar que siempre he comprobado visualmente todos los caracteres al transaccionar, y uno aprende a no conformarse con los códigos QR leídos, que no me extrañaría pudiesen también entrar en la rueda de los cambios que pudiese abordar algún malware que otro.

Eso me recuerda a algo que he visto en muchos de los servicios y herramientas de exploración de la blockchain; a veces para disminuir el número de elementos en pantalla, solamente muestran unos pocos caracteres al comienzo de la dirección de Bitcoin y unos pocos caracteres al final de la misma.

Me hace pensar que tan seguro es revisar solo una dirección de esa forma: el principio y el fin, por lo general trato de darle una ojeada general a las direcciones que uso, pero se que muchos usuarios nuevos en este ecosistema se conformarán con la técnica citada, la cual creo que llegará un momento en que ya no se considere para nada segura.

[DdmrDdmr]

<…>

Efectivamente, algunos dispositivos muestran la dirección base para contrastar bien en varias líneas e incluso con puntos suspensivos en parte de la dirección. Otros lo hacen por etapas (léase algún hardware wallet que otro, al no caber la dirección completa en pantalla). Es cuestión de cogerle el hábito, aunque puede que el importe también juegue su papel en la fidelidad a la revisión exhaustiva de la dirección BTC. Si el importe es bajo, es más fácil saltarse la verificación completa.

[seoincorporation]

Según narra el segundo artículo, el sistema intenta crear direcciones lo más parecidas posibles a la dirección del usuario, aunque no está claro cómo lo realizan exactamente, y posiblemente sea una sobreventa de las capacidades, habitualmente ceñidas a caracteres iniciales y/o finales coincidentes.

he escuchado de casos en donde la dirección sustituida tenia los primeros caracteres similares, y también me genera duda como logran esto, no se si vanity gen se ejecute desde la computadora de la víctima o desde el servidor del atacante. Creo que por el tipo de exploit ambos son una opción viable.

Y no entiendo como la gente puede confiar en este tipo de servicios, podría estar seguro que en el momento en el que contratamos e instalamos el servicio nuestra misma computadora queda vulnerada.

[DdmrDdmr]

Uno diría que, a estas alturas, los sistemas operativos podrían tener una opción nativa para evitar la manipulación del portapapeles, aunque fuese como opción de opt-in. Probablemente se me escape algo, pero seguro que algo se puede hacer con un poco de esfuerzo. Se me ocurre de manera simplona poder optar por que el clipboard.SetText sólo sea activable tras haber copiado algo desde el teclado, o bien avise si lo ha realizado algún aplicativo que no sea el controlador del teclado, aunque eso limita las opciones de copiar pegar mediante otra funcionalidad como son los botones creados a tales efectos en ciertas pantallas.

En el ejemplo de uno de los artículos, la dirección BTC reemplazante tiene 4 caracteres iguales como prefijo, y 3 más por la cola. Es bastante sencillo ver que no es la misma dirección, sobretodo si uno compara algún segmento que no esté en los extremos de la dirección.

Nota: Opera trabajaba en una solución en su entorno de navegador, aunque no le he seguido la traza.

[Silberman]

Y no entiendo como la gente puede confiar en este tipo de servicios, podría estar seguro que en el momento en el que contratamos e instalamos el servicio nuestra misma computadora queda vulnerada.

Aunque hay altas posibilidades de que este sea el caso, hay que recordar que incluso en esos mercados negros donde servicios como este hacen su aparición se tienen sistemas de confianza parecidos a lo que podemos ver en eBay o cualquier otro sitio que podemos encontrar en el Internet.

Así que esperaría que las ofertas más exitosas de servicios como este provean un servicio aceptable, o al menos sean capaces de esconder muy bien cualquier vulnerabilidad que hayan incluido en la máquina de la persona que contrató tal servicio.

[Hispo]

-snip-

-snip-

Yo tengo entendido que dentro de los negocios ilegales de internet rige de forma importante un sistema de reputación (entre criminales o socios), irónicamente como dices tiene cierto parecido con lo que se encontraría en Ebay o incluso con lo que nos encontramos en foro.

Esas personas tienen como objetivo principal el ganar dinero y para hacerlo necesitan mantener un mínimo de reputación para que exista un flujo de pagos por sus servicios o ransomware. Uno de los ejemplos más notables y recientes fue el ataque de ransomware contra infraestructura de petróleo en Estados Unidos (Colonial Pipeline). Los hackers pidieron 75BTC y la compañia pagó a los criminales y estos dieron de regreso las herramientas de desencriptado.

Overseen by the FBI, the company paid the amount that was asked by the hacker group (75 bitcoin or $4.4 million) within several hours upon receipt of the ransom, an IT tool was provided to the Colonial Pipeline Company by DarkSide to restore the system. However, the tool had a very long processing time to help get the system back up in time

https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack

Al final, lograron recuperar 63BTC del pago de rescate, debido a un descuido por parte de los hackers, supuestamente.

[seoincorporation]

...Uno de los ejemplos más notables y recientes fue el ataque de ransomware contra infraestructura de petróleo en Estados Unidos (Colonial Pipeline). Los hackers pidieron 75BTC y la compañia pagó a los criminales y estos dieron de regreso las herramientas de desencriptado.

Al final, lograron recuperar 63BTC del pago de rescate, debido a un descuido por parte de los hackers, supuestamente.

Este tipo de ataques siguen estando frescos, hay muchas empresas hoy en día que son víctimas de estos, y el último que escuche en mi país fue reciente. La Secretaría de Transportes y Comunicaciones no realizará tramites hasta 2023 ya que están bajo este ataque actualmente. Los ataques a gobierno se esta disparando por las nubes y lamentablemente, los sistemas de gobierno siguen siendo obsoletos en muchos estados.