Doing business in Spain? Interempresas Media is the key
Una investigación llevada a cabo por el proveedor sitúa a España como octavo país más afectado por esta práctica, al acaparar el 3,2% de las víctimas a nivel global

Bitdefender desvela cómo se utilizan los cracks de Microsoft Office y Adobe Photoshop CC para el robo de datos y criptomonedas

Redacción Interempresas04/05/2021
Bitdefender, ha detectado que durante los últimos tres años se han estado robado datos y criptomonedas de las billeteras de Monero mediante la instalación de un potente malware a través de los cracks de diversas aplicaciones, entre las que aparecen Microsoft Office y Adobe Photoshop CC.

Según Bogdan Botezatu, director de Investigación e Informes de Amenzas en Bitdefender, “los cracks existen desde la aparición del software comercial. Son pequeñas aplicaciones, fáciles de usar, que están disponibles en sitios web especializados. Su instalación permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta actividad, además de implicaciones legales por el uso de software sin autorización del propietario, presenta también graves riesgos de seguridad”.

El origen de este anuncio está en el descubrimiento reciente por parte de los analistas de Bitdefender de una serie de ataques que aprovechan los cracks de herramientas ofimáticas y de edición de imágenes para instalar un malware de puerta trasera que consigue comprometer PCs, robar carteras de criptomonedas y exfiltrar datos a través de la red TOR. En esta investigación llevada a cabo a nivel global, España aparece como el octavo país más afectado por esta práctica, acaparando un 3,2% de las víctimas totales. Los países más perjudicados son EE UU (11,9%) e India (11,6%).

Más concretamente, en esta investigación se demuestra cómo:

  • Se instala un malware de puerta trasera mediante el que el ciberdelincuente consigue el control total del dispositivo, por lo que puede robar contraseñas, archivos locales, PINs o cualquier otra credencial.
  • Es posible robar billeteras de Monero. Si el atacante identifica una cartera de Monero almacenada en el dispositivo, podrá robarla, junto con todas sus criptomonedas.
  • Los perfiles del navegador Firefox pueden ser pirateados, lo que permite hacerse con contraseñas de inicio de sesión almacenadas, historial de navegación, marcadores y cookies de sesión. Con respecto a estas últimas, Bitdefender recuerda que a través de las cookies de sesión es posible acceder a distintos servicios sin necesidad de contraseñas o de autenticaciones de doble factor (2FA).
  • Este tipo de ataque está activo desde la segunda mitad de 2018.
foto

Los investigadores de Bitdefender explican que una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta legítima para enviar datos sin procesar a través de la red), así como un proxy TOR. Además, se coloca también en el disco un archivo batch que contiene la línea de comandos para el componente Ncat y que recorre los puertos 8000 a 9000 sobre un dominio.onion. Estas herramientas trabajan juntas para crear una puerta trasera que se comunica con el centro de comando y control a través de TOR. El crack crea mecanismos de persistencia para el archivo proxy TOR y el binario Ncat en la máquina con un servicio y una tarea programada que se ejecuta cada 45 minutos, respectivamente. La investigación llevada a cabo por Bitdefender revela que, con toda probabilidad, no se envían solicitudes a las víctimas de forma automatizada, sino que la puerta trasera es utilizada de forma interactiva por un operador humano. Algunas de las acciones que se observan son:

  • Exfiltración de archivos. Ncat puede recibir archivos locales para enviarlos a través de TOR a los centros de comando y control.
  • Ejecución del cliente BitTorrent. Es probable que los atacantes utilicen clientes BitTorrent para exfiltrar datos.
  • Apagado del firewall en preparación para la exfiltración de datos.
  • Robo de los datos del perfil del navegador Firefox (historial, credenciales y cookies de sesión). Antes de la exfiltración, los atacantes archivan la carpeta del perfil con 7zip para generar un archivo que contenga todo.
  • Robo de billeteras Monero a través del cliente CLI legítimo 'monero-wallet-cli.exe'.

Esta lista de acciones no es exhaustiva, ya que los atacantes consiguen un control total del sistema y pueden adaptar las campañas en función de sus intereses puntuales.

Distribución geográfica

País

Víctimas (%)

Estados Unidos 11.89%
India 11.66%
Grecia 6.99%
Canadá 6.76%
Alemania 4.43%
Reino Unido 4.20%
Italia 3.73%
España 3.26%
México 2.80%
Polonia 2.80%
Sierra Leona 2.33%
Filipinas 2.10%
Francia 2.10%

 

Más información sobre esta investigación en: https://labs.bitdefender.com/2021/04/from-cracks-to-empty-wallets—how-popular-cracks-lead-to-digital-currency-and-data-theft/

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.