Expertos de Kaspersky descubrieron que una extensión maliciosa para los navegadores Chrome, Brave y Opera que está siendo utilizada para robar criptomonedas de víctimas como parte de una reciente campaña de Satacom. Los productos de la empresa bloquearon el malware en los dispositivos de cerca de 30,000 usuarios durante los últimos dos meses; Brasil y México lideran la lista de los países más afectados. Los atacantes han implementado una variedad de acciones maliciosas para garantizar que la extensión no se detecte mientras el usuario desprevenido navega por los sitios web de intercambio de criptomonedas objetivo, entre ellos Coinbase y Binance. Además, la extensión permite a los agentes de amenazas ocultar cualquier notificación de transacciones enviada a la víctima por estos sitios web para mantener el robo encubierto por más tiempo.
Esta reciente campaña está vinculada al downloader Satacom -una notoria familia de malware activa desde 2019- que se distribuye principalmente a través de publicidad maliciosa ubicada en sitios web de terceros. Los enlaces o anuncios maliciosos redirigen a los usuarios a servicios falsos para compartir archivos y otras páginas maliciosas donde se ofrece descargar un archivo que contiene el malware. En el caso de esta reciente campaña, lo que se descarga es la extensión maliciosa del navegador.
El objetivo principal de la campaña son los bitcoins (BTC) de las víctimas, los cuales son robados mediante una técnica de inyección de código en páginas web legítimas para el intercambio de criptomonedas, con el fin de obtener todos los datos necesarios para llevar a cabo el robo financiero, incluidos los tokens de autenticación. Los expertos también afirman que el malware se puede cambiar fácilmente para apuntar a otros tipos de criptomonedas. De acuerdo con la telemetría de Kaspersky, la mayor cantidad de usuarios de Internet afectados por la campaña reciente se encuentran en Brasil, México, Argelia, Turquía, India, Vietnam e Indonesia.
La manipulación del navegador ocurre mientras el usuario navega por sitios web de intercambio de criptomonedas específicos. La campaña está dirigida a los usuarios de Coinbase, Bybit, Kucoin, Huobi y Binance. Además de robar este tipo de monedas, la extensión lleva a cabo acciones adicionales para ocultar su actividad principal. Por ejemplo, oculta las confirmaciones de transacciones que se hacen por correo electrónico y modifica los hilos de correo electrónico existentes de los sitios web de criptomonedas para crear hilos falsos que se parecen a los reales.
Cabe señalar que, en esta campaña, los agentes de amenazas no necesitan encontrar formas de colarse en las tiendas de extensiones oficiales, ya que utilizan el downloader Satacom para la entrega. La infección inicial comienza con un archivo ZIP, que se descarga de un sitio web que parece imitar los portales de software que permiten al usuario bajar el programa deseado (a menudo descifrado) de forma gratuita. Generalmente, Satacom descarga varios binarios en la máquina de la víctima. En este caso, los investigadores de Kaspersky observaron un script de PowerShell que realiza la instalación de una extensión de navegador maliciosa. A partir de la infección, el fraude se realiza en conjunto con una serie de acciones maliciosas permiten que la extensión se ejecute de forma sigilosa.
Para potenciar los beneficios del uso de criptomonedas de manera segura, los expertos de Kaspersky recomiendan:
- Tener cuidado con las estafas de phishing: los estafadores usualmente usan correos electrónicos de phishing o sitios web falsos para hacer que las personas revelen sus credenciales de inicio de sesión o claves privadas. Siempre verifica dos veces la URL del sitio web y no hagas clic en ningún enlace sospechoso.
- No compartas tus claves privadas: tus datos de acceso privados desbloquean tu billetera de criptomonedas. Mantenlas privadas y nunca las compartas con nadie.
- Infórmate constantemente: mantenerte informado sobre las amenazas cibernéticas más recientes y las mejores prácticas para proteger tus criptomonedas. Cuanto más conozcas sobre cómo defenderte, mejor equipado estarás para prevenir ataques cibernéticos.
- Investiga antes de invertir: antes de comprar cualquier criptomoneda, conoce a fondo el proyecto y al equipo que hay detrás de él. Consulta el sitio web, el libro blanco y las redes sociales para asegurarte de que el proyecto sea legítimo.
- Utiliza soluciones de ciberseguridad: estas herramientas protegerán tus dispositivos contra varios tipos de amenazas. Kaspersky Premium evita todos los fraudes de criptomonedas conocidos y desconocidos, así como el uso no autorizado de la potencia de procesamiento de tus equipos para extraer criptomonedas.
El análisis técnico detallado del malware está disponible en Securelist.