El malware utiliza un navegador Tor falso para vulnerar transacciones que al final os fondos se depositan al atacante, sin saberlo.
Kaspersky alertó sobre una campaña de robo de criptomonedas como Bitcoin, Ethereum, Litecoin, Dogecoin o Monero que ha afectado a 15,000 usuarios de 52 países, la cual se distribuye a través de un navegador Tor falso y vulnera las transacciones para que el pago se realice al atacante y no al destinatario que el usuario cree; se estima que en lo que va del año, se han robado al menos $400,000 dólares.
Vitaly Kamluk, jefe de la Unidad APAC, Equipo de Investigación y Análisis Global de Kaspersky, señaló que se trata de una técnica que existe desde hace más de una década, que originalmente utilizaba troyanos bancarios que reemplazaban números de cuenta. Ahora, la evolución de Clipper implica el uso del navegador Tor, herramienta empleada para acceder a la Deep Web. La víctima descarga, sin saberlo, una versión infectada desde un sitio falso que contiene un archivo RAR protegido con contraseña para que las soluciones de seguridad no puedan detectar el malware; después se registra en el arranque automático y se mimetiza como icono de una app de uso popular, como puede ser uTorrent.
La mayoría de los casos detectados provienen de Rusia, donde Tor está oficialmente bloqueado y los usuarios lo descargan de sitios Web de terceros. Entre los 10 países más afectados están Estados Unidos, Alemania, Uzbekistán, Bielorrusia, China, Países Bajos, Reino Unido y Francia.
“El ataque a través de una versión falsa del navegador Tor implica un peligro mayor del que se puede pensar. Ejecuta transferencias monetarias irreversibles y es muy difícil de detectar. La mayoría del malware requiere de un canal de comunicación con el sistema de la víctima. Sin embargo, este tipo de amenaza puede permanecer en silencio durante años, sin actividad aparente o dar signos de su presencia hasta el día en que reemplaza la dirección de una billetera criptográfica”, explicó Kamluk.
Para evitar caer en este robo y proteger las criptomonedas, los expertos de Kaspersky recomiendan:
- Descargar software solo de fuentes oficiales siempre que sea posible y verificar la identidad de éste antes de descargarlo.
- Tener siempre el software actualizado. Confirmar que el sistema operativo, el navegador y otros programas tengan siempre con los últimos parches y actualizaciones.
- Utilizar soluciones de seguridad de confianza para proteger los equipos; por ejemplo, Kaspersky Premium previene de amenazas relacionadas con las criptomonedas.
- Ser precavido con archivos adjuntos y enlaces recibidos por correo. No se debe hacer clic en ningún enlace o descargar ningún archivo de fuentes sospechosas o desconocidas.