Los piratas informáticos ocultan malware de intercambio de direcciones cripto en los paquetes de complementos de Microsoft Office
Los actores maliciosos intentan robar criptografía con malware integrado en extensiones falsas de Microsoft Office cargadas en el sitio de alojamiento de software SourceForge, según la firma de seguridad cibernética Kaspersky.
Uno de los listados maliciosos, llamados “OfficePackage”, tiene complementos reales de Microsoft Office, pero oculta un malware llamado ClipBanker que reemplaza una dirección de billetera criptográfica copiada en el portapapeles de una computadora con la dirección del atacante, dijo el equipo de investigación anti-malware de Kaspersky en un informe del 8 de abril.
“Los usuarios de billeteras de cifrado generalmente copian direcciones en lugar de escribirlas. Si el dispositivo está infectado con Clipbanker, el dinero de la víctima terminará en algún lugar completamente inesperado”, dijo el equipo.
La página del proyecto falso en SourceForge imita una página de herramienta de desarrollador legítimo, que muestra los complementos de la oficina y los botones de descarga y también puede aparecer en los resultados de búsqueda.
Kaspersky dijo que encontró un malware de robo criptográfico en el sitio web de alojamiento de software SourceForge. Fuente: Kaspersky
Kaspersky dijo que otra característica de la cadena de infección del malware implica el envío de información de dispositivos infectados, como direcciones IP, países y nombres de usuario a los piratas informáticos a través de Telegram.
El malware también puede escanear el sistema infectado en busca de letreros que ya se ha instalado previamente o para el software antivirus y eliminar a sí mismo.
Los atacantes podrían vender acceso al sistema a otros
Kaspersky dice que algunos de los archivos en la descarga falsa son pequeños, lo que plantea “banderas rojas, ya que las aplicaciones de oficina nunca son tan pequeñas, incluso cuando se comprimen”.
Otros archivos están acolchados con basura para convencer a los usuarios de que están buscando un instalador de software genuino.
La firma dijo que los atacantes aseguran el acceso a un sistema infectado “a través de múltiples métodos, incluidos los no convencionales”.
“Si bien el ataque se dirige principalmente a la criptomoneda al desplegar un minero y un clipanker, los atacantes podrían vender acceso del sistema a actores más peligrosos”.
La interfaz está en ruso, que Kaspersky especula podría significar que se dirige a los usuarios de habla rusa.
“Nuestra telemetría indica que el 90% de las víctimas potenciales se encuentran en Rusia, donde 4.604 usuarios encontraron el esquema entre principios de enero y finales de marzo”, declaró el informe.
Para evitar ser víctimas, Kaspersky recomendó solo descargar software de fuentes de confianza como programas pirateados y opciones de descarga alternativas conllevan mayores riesgos.
Relacionado: Los piratas informáticos venden teléfonos falsificados con malware criptográfico de robo
“Distribuir malware disfrazado de software pirateado es todo menos nuevo”, dijo la compañía. “A medida que los usuarios buscan formas de descargar aplicaciones fuera de las fuentes oficiales, los atacantes ofrecen la suya. Siguen buscando nuevas formas de hacer que sus sitios web se vean legítimos”.
Otras empresas también han aumentado la alarma sobre nuevas formas de malware dirigidos a usuarios de criptografía.
Amense Fabric dijo en un informe del 28 de marzo que encontró una nueva familia de malware que puede lanzar una superposición falsa para engañar a los usuarios de Android para que proporcionen sus frases de semillas de cifrado a medida que se hace cargo del dispositivo.
Revista: ¿Bitcoin se dirige a $ 70k pronto? Fondos de Crypto Baller SpaceX Flight: Hodler’s Digest, 30 de marzo – 5 de abril
