Topic: MALWARES VUELVEN A CREAR INSEGURIDAD (Read 741 times)

Si no es mediante un Exploit como el visto más arriba, los malhechores siguen al acecho a través de correos maliciosos con adjuntos, los cuales pueden llevar a los hackers a controlar nuestro ordenador de manera remota, explorar los archivos, hacer capturas de pantalla, y demás. Obviamente con ello, pueden llegar a acceder a información comprometida de índole personal, financiera o cripto.


Los artículos abajo describen la nueva técnica usada por los hackers son hackers, basándose en el envío de correos con un adjunto de Microsoft OneNote, algo que es propio de Office 365 y a partir de Office 2019. Total, que volvemos a tener algo similar a cuando se ejecutaba una macro maliciosa en un documento Office, pero con la variante de ejecutar un archivo VBS (Visual Basic Script), algo tremendamente potente. El sistema avisará del riesgo de abrir este tipo de archivos, pero el problema está en los que le den al OK, llevándose como regalo la instalación de un software malicioso capaz de instalar un malware de los buenos.


Ver:
https://bitcoin.es/actualidad/cuidado-con-los-documentos-adjuntos-de-microsoft-onenote-podria-tratarse-de-un-malware/
https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Tremenda cantidad de dinero para poner arriba de la mesa.

Las administraciones publicas en muchos lugares tienen que empezar a subir sensiblemente sus estandares de seguridad, en muchos casos son realmente pauperrimos y se mueven demasiado lento para dar respuesta, de ehcho sin ir mas lejos ya muchos paises han creado sus destacamento de cyberseguridad dentro de sus FFAA donde controlan los elementos mas sensibles como ser centrales nucleares, cadenas de alimentacion electricas y demas, pero lo que es registro de personas y otros ministerios siguen siendo un tembladeral.

En Italia parece que en torno a 2.100 servidores de empresas y administraciones públicas han sido víctimas en las últimas horas de un ataque masivo de ransomware, demandando … 2 BTCs (aproximadamente) por cada caso.  Como es moda, amenazan con hacer públicos datos de los clientes para agravar la situación, en caso de que sus demandas no sean atendidas en el plazo de 3 días.

El método de acceso parece haber sido la explotación de una vulnerabilidad del VMare ESXi.En algunos medios he leído que estaba parcheada desde hace tiempo, y que habrían logrado atacar a servidores que no habían procedido a aplicar los parches, pero no he visto oficializado este hecho.

Tirando largo, el objetivo máximo de los atacantes sería: 2.100 servidores x 2 BTC/Servidor = 4.200 BTCs (95.799.900 $).

Ver: https://es.italy24.press/noticias/349635.html

A mí particularmente los móviles me dan un poco de grima en términos de seguridad, por lo que intento minimizar y seleccionar las apps que me instalo. No obstante, siempre queda la sensación de que es más fácil encontrarse con alguna sorpresa que con un pc, si bien también depende mucho de las prácticas y hábitos de cada cual.

En cuanto a tener lo justo en la wallet del móvil, concuerdo con la idea de tener pocos fondos y durante poco tiempo, y aun así voy con todas las cautelas.

La verdad es que esta muy bien pensado, es muy simple pero efectivo y literal que cumple con su definicion de troyano.

A mi en particular no me gusta para naa tener wallets en el celular, pero.... si admito que son MUY comodas de usar mas que nada por el tema del qr y demas, por lo tanto tengo una sola en la cual si se que voy a usar tengo pocos fondos en la misma y le envio fondos antes de realizar la operatoria minimizando los riesgos por asi decirlo.

Pero bueno aparte de las cryptos si hoy en dia es muy util usar las apps de los bancos en el celular.

El artículo abajo referenciado versa sobre un troyano que está haciendo de las suyas en entornos Android, con foco en la obtención de datos bancarios y de criptomonedas. El troyano, bautizado como Godfather, y basado en el antiguo Anubis. Lleva rondando por lo menos desde marzo 2022 con cierto sigilo, y se instala principalmente al intentar bajarse las apps Currency Converter Plus y Google Protect (instalado desde webs terceras).

El troyano es capaz de redirigir al usuario a webs fraudulentas mediante supuestas notificaciones, que sirven de base para hacer phishing de las credenciales. En cuanto a las wallets de criptomonedas, parece que cuanto menos es capaz de realizar capturas de pantallas al interactuar con las mismas.

Ver:
https://www.criptonoticias.com/tecnologia/troyano-android-afecta-cerca-100-wallets-bitcoin-criptomonedas/

Parece que este tipo de estafa sigue sucediendo en Australia, al punto que la policía ha emitido avisos esta semana en sus redes sociales avisando a la gente del proceder de la estafa realizada a través de supuestas paper wallets de bitcoin.

Lo curioso es que la imagen mostrada en una de las redes sociales del a policía australiana muestra el código QR de un caso, y si lo intentas escanear con un lector QR, se lee sin demasiados problemas (no hay que seguir con el experimento a partir de ese punto).

Ver: https://coinnounce.com/australians-warned-not-to-use-fake-cryptocurrency-paper-wallets/

No se si alguien lo tiene más claro, pero he mirado por encima la documentación de las API de Trading de 3 Exchanges, y los únicos límites que he visto son los relativos a su uso (número de llamadas por unidad de tiempo), pero no he visto nada respecto de cómo delimitar los importes sobre los cuales cedes el control a las API a partir de tus saldos en la cuenta asociada en el Exchange.

Está claro que deben aplicar los límites diarios/semanales/mensuales de la cuenta, pero si alguien, pongamos por ejemplo, tiene 10 BTCs en el Exchange (por ser trader activo o despistado con su seguridad), si su cuenta pudiese pulirse los 10 BTCs en trading en un día, ¿la API también?

Parecería lógico que uno pudiese "ceder" el control a la API sobre cantidades delimitadas del saldo en las monedas, pero me ha parecido que no, que va sobre lo que tengamos (conforme a los límites de la cuenta).
Ojo, no hablo sobre los límites propios del bot de trading, que se puede parametrizar por diferentes conceptos, estableciendo límites de trading, sino de la API en sí.

Ver por ejemplo: https://www.binance.com/en-NZ/support/faq/api-frequently-asked-questions-360004492232

Eso siempre fue una cosa que me llamo muchisimo la atencion.

Si bien no me dedico a eso, ver gente que descarga cualquier bot para que opere con todo control..... es casi pedir que te roben.

Pero bueno digamos que hoy en dia uno nunca sabe cuando esta a salvo ya con nada.

La guerra cybernetica nos puede afectar a todos

No sé si alguien por aquí usará bots de trading para los cuales se les otorgue permisos sobre las API Keys de nuestras cuentas en Exchanges (los que tengan), pero citar que esta es otra fuente más para que las cuentas sean drenadas, sobre todo si uno se da de alta en una web de phishing en lugar de la intencionada del bot de trading …

Se ve que hay varios casos recientes de lo anterior, donde la persona quería darse de alta en bots del estilo de 3Commas y Skyrex, y acabó cediendo sus API keys de Exchanges tales como FTX (ejem…), Binance and Coinbase a los impostores. Con el control de la API keys, drenaje al canto.

Ver:
https://www.fxstreet.com/cryptocurrencies/news/binance-coinbase-and-ftx-users-hacked-by-false-trading-bot-platforms-cz-says-delete-api-keys-202211140847

Realmente es KMS (no KSM). Lo digo por si uno hace búsquedas en Google, encontrará más entradas de la primera forma.

A ver, estos crackeadores puede que funcionen por lo menos durante unos meses, y en mi época de usarlos, recuerdo que cada x tiempo tenías que volver a buscar uno nuevo, dado que alguna actualización de Microsoft lo hacía inservible.

El problema mayor es que frecuentemente, y más aún hoy en día, cuando te instalas el KMS, el instalador va y te instala los regalitos. Es decir, puede que te instales el KMS y estés más contento que un ocho habiéndote ahorrado el coste de la licencia, pero de manera latente, te puedes haber instalado malware, que además se va actualizando sin que te enteres.

De ahí que hemos visto en incontables veces como uno ve que algún tipo de malware se ha hecho con sus credenciales bancarias, de Exchange o de su correo electrónico, o bien directamente ha instalado un RAT (control remoto) para hacerse con lo que fuese (billeteras cripto, etc.), cuando no te llevas el caramelo del ransomware.

Una cosa es jugártela en un ordenador viejo sin conexión a la red, y sobre cuyo contenido no tengas nada privado ni de valor (ej/ ordenador sólo para juegos pirata), u otra cosa es instalarlo en tu ordenador doméstico desde donde accedas a bancos, comercios, Exchanges, correo, billeteras de BTC (et al) y demás.

En otro foro encontre esto.

Creo que es mas o menos el hilo indicado para pedir una recomendacion de gente mas entendida, en su momento recuerdo que se charlo aca sobre los cracks de office.




Yo no entiendo nada de programacion, ustedes que opinan? es realmente peligroso? Otros usuarios comentaban que les pelaron dos billeteras por usar Windows truchos.

De vez en cuando, alguno de los que está detrás del malware de cierto tipo es pillado. En el artículo de más abajo cita como el FBI ha pillado al responsable de Raccoon Infostealer (el cual por cierto también se alquilaba como servicio para quienes quisiesen propagarlo para su rédito propio). El software se hacía sobre todo con credenciales de acceso a correos electrónicos, cuentas bancarias, tarjetas y direcciones de criptomonedas (entiendo que se refiere realmente a credenciales de Exchanges).

El FBI ha creado una página para que uno introduzca su correo electrónico y vea si ha sido afectado por el software (si es que quiere proporcionarles datos a la agencia) ...


Ver: https://www.lavanguardia.com/tecnologia/20221104/8593577/el-fbi-resuelve-uno-de-los-casos-mas-grandes-de-cibercrimen-el-hacker-y-su-pareja-publicaban-sus-movimientos-pmv.html

El tema del código abierto es que, a la postre, para el común de los mortales, uno ha de fiarse del "criterio de revisión de otros", de que no incluya nada malicioso en la versión base ni en las actualizaciones subsiguientes. Es decir, uno puede llegar a mirarse todo el código y/o comparar versiones para ver las diferencias, partiendo de un punto considerado como bueno, pero a ver quién es el guapo que lo revisa personalmente.

Teóricamente, uno diría que es mejor que sea código abierto por principio de posibilitar la revisión por parte de terceros, pero tendríamos que ver el tiempo que realmente se tarda a nivel de comunidad en detectar algún cambio maligno en el código. Mínimo, por prudencia, probablemente no sea bueno ser de los que se actualizan las versiones a toque de pito – más que nada para que dé tiempo para que alguien pueda dar la voz de alarma (si es que lo revisan el software abierto determinado.)

Tal y como comentas, el caso del clonado con modificación es una claro punto débil, tal y como se observa en este caso.

Gracias por dar el aviso, como siempre.

Yo no había visto ese hilo, pero creo que para nosotros que llevamos ya algunos meses tenemos como una de las reglas fundamentales en tener cuidado cuando se buscan esa clase de servicios en Google o cualquier otro buscador.

Por otro lado, esto podría utilizarse para abrir un debate sobre la explotación de programas de open source para la creación de esquemas de fishing relativamente sofisticados. Aunque creo que en el ecosistema de Bitcoin el código libre es fundamental, también facilita demasiado la inserción de líneas de código maliciosas como esa.

A veces me gustaría poder tener los conocimientos técnicos y tiempo libre para poder hacer auditoría personal del código de las wallets que llegase a usar. 

Un software que se referencia frecuentemente es el de Iancoleman, el cual permite convertir nemónicos BIP39 a direcciones y claves privadas. No es algo que haya utilizado personalmente, pero de vez en cuando lo ves referenciado en un post o artículo.

Como no, desde hace años, hay sitios falsos que clonan el software a partir del repositorio en GitHub, lo modifican ligeramente, y almacenan los datos que generes o introduzcas para ver si se pueden hacer con los BTC de los incautos.

Aunque he visto que la práctica lleva sucediendo desde hace ya algunos años, la lectura de este hilo da una idea de qué nos podemos encontrar si acabamos en la URL equivocada, sea inducida a partir de un Ad de Google, bien en los resultados de una búsqueda.

Para el momento en que me pidió ayuda ya la encriptación estaba hecha y no había ningún txt pidiendo rescate, así que asumo que debió haberlo cerrado sin saber que era durante su turno en el trabajo.

Por otro lado aprendí algunas cosas interesantes, sobre esta clase de amenazas que quizá te interesen:

1. Existen páginas que recopilan herramientas de desencriptado para ransomware específicos, tengo entendido que estos se hicieron con la ayuda de hackers de sombrero blanco que descubrieron un error en el algoritmo de encriptado usando por los criminales, aquí hay un ejemplo ofrecido por avast. En mi caso, se trató del ransomware de nombre "Ako", no figuraba en los recopilados.

https://www.avast.com/ransomware-decryption-tools#pc

2. Logré rescatar todos los PDFs de mi padre que estaban en el pendrive con la ayuda de un programa llamado "Recuva". Debido a que el ransomware copia, encripta y luego elimina los archivos originales, una herramienta de recuperación de archivos borrados puede ser útil para traer algo de regreso. En el caso de las hojas de excel, archivos word e imágenes, no pude recuperar ni uno.

3. Creo que el modus operandi de este ransomware es estar seguro de que la encriptación se realiza mientras hay acceso a internet por parte de la victima.
Lo primero que hace es crear copias .exe de los archivos, con el mismo nombre e icono, de tal forma que la victima haga click en ellos y envíe la orden automática a través de la red al servidor del hacker. Probablemente esto se hace para que la llave de cada víctima sea única, así como el ID de identificación para el rescate.

Apenas noté esto, supe que lo ideal fue lidiar con el ransomware con la PC desconectada al Wi-Fi. Todo esto lo supe por un segundo pendrive, también infectado, pero donde el encriptado no se había trigerado, sin embargo estaba lleno de esos clones .exe. Ese si pude limpiarlo y conservar toda la información.

¡Joder! (con perdón) … ¿El sistema llegó a pedirle un rescate mediante BTC (o afín)?

Los USB son un foco importante potencial de entrada de virus y troyanos en nuestros ordenadores, máxime si se han utilizado en entornos compartidos (colegios, bibliotecas, etc.). Supongo que no será el caso, habiendo wallets afectadas, pero aprovechando el dichoso infortunio que comentas, y generalizando, es un motivo más para no almacenar las semillas de las carteras en un dispositivo tipo ordenador.

Tristemente la tienda de aplicaciones de Google desde ya hace mucho tiempo se se asocia a todo tipo de apps de mala calidad y virus disfrazados, a veces el disfraz es tan malo que uno se pregunta como no se le cae la cara de vergüenza al publicador; ofreciendo juegos de PC de gama relativamente alta, supuestamente optimizados para android, solo para caer en cuenta de que es un agente encriptador ransomware.

La mala fama en ese aspecto de la Play Store hace contraste con la tienda de Apple, la cual pareciera que le ponen más cuidado a sus filtros de calidad y seguridad, según lo que he leído por allí.

Por cierto, estos últimos días tuve mi primera experiencia lidiando con ransomware, una memoria USB de mi padre que sin saberlo infecto y el resultado fueron todos su archivos ilegibles por medio de un cifrado de 256 bits.

En el ámbito del malware, una de las fuentes que conocemos como una entrada frecuente son las apps falsas y las maliciosas que nos encontramos en los stores, siendo Google Play uno de los focos importantes de distribución. Por mucho que pongan nuevos controles y reglas, hay maneras de pasar cualquier control con piel de cordero.

Así es el caso de los Droppers Troyanos, los cuales se disfrazan de app de utilidad, con la capacidad de bajarse e instalar el verdadero troyano.

En este artículo habla extensamente de este tipo de apps maliciosas, cuyo foco principal suele ser la de obtener datos bancarios o de criptomonedas. Si miramos los listados de “Sharkbot/Vultur Targets” en el artículo, veremos no pocas referencias a wallets de criptomonedas …

Yo personalmente es la primera vez que veo algo como esto y a juzgar por la reacción de los usuarios más veteranos del foro en el hilo donde se reportó esto originalmente me da a entender de esta es una escalada o evolución nueva de la estafa del galeón español o el príncipe nigeriano.


Suena bastante grave, me gustaría leer más al respecto. ¿Tienes algún artículo que puedas compartir al respecto?
Pregunto porque hace como un año o dos vi una compañía que efectivamente vendía tarjetas NFC para la transferencia off-chain de Bitcoin y otras criptomonedas (muy bonitas por cierto), quiero saber si se trata de esa misma compañía que se publicitaba por medio de reviews en canales cripto.

Creo que debemos desconfiar de todas las direcciones y wallets en la que nosotros no seamos los creadores y dueños de las llaves privadas.

En el pasado he visto como personas utilizan tarjetas con NFS para bitcoin las cuales fueron enviadas por paquetería pero al final los creadores también tenían las llaves privadas... Un día simplemente desapareció la compañía y tomo todos los fondos de las tarjetas.

He intentado ver si el caso se ha reportado fuera de Australia, o bien con anterioridad a este pasado verano, y no he visto nada. Como método conceptual no es nuevo: mándame x para obtener el acceso a Y bitcoins. Lo que no me constaba era hacerlo a través de paper wallets, para darle un toque físico al timo.

No me extrañaría ver el timo replicado en más partes. La clave (ironía) es en poder generar una paper wallet sin usar una de esos sites que generan la clave privada por ti, y que resultan ser un timo a la postre, sino un riesgo persistente para los fondos del dueño.

Confirmado entonces que se trata de un esquema de phishing, pero en el mundo real.
Por cierto, algo extraño que el scammer utilice una página de pagos de terceros para recibir el dinero, un esfuerzo como este con los riesgos intrínsecos de ser atrapados tirando las wallets y de estar cometiendo un crimen desde y dentro de una misma jurisdicción hubiese sido meritorio de una puesta en escena de una página falsa hecha por el propio scammer para recibir los pagos directamente. Dudo que hubiese utilizado sus datos reales, pero el hecho de que tuvo que proporcionar algo ya es una pista más que podría usarse para dar con su paradero, aunado a que ya se sabe su zona geográfica aproximada, como he dicho, por mucho menos gente mal intencionada se ha inventado canales de pago falsos y páginas clónicas. Ojala su estupidez/pereza acelere su caída.

Espero que esto no sea el inicio de una tendencia en otros lugares del mundo, temo que otros scammers más competentes adopten y refinen la técnica. 

He localizado un hilo en Reddit de hace 4 meses (luego el timo ya lleva algún tiempo en circulación), donde una persona describe un poco mejor el proceso:

-   La paper wallet encontrada en la calle, en su caso, aparentaba tener 0,47 BTCs.

-   Tenía un QR para depósitos, y otro para retirada de fondos.

-   Aunque no lo explica muy bien, da la sensación de que el código QR realmente le llevó primero a un site ya inexistente (holonotewallet[punto]com), desde donde accionó el botón de retirada. Si buscamos la site en google entre comillas aparecen dos entradas pero sin dar acceso a la site. Tampoco hay versiones cacheadas ni archivadas.

-   La acción de retirada de la web anterior (o eso entiendo) te lleva a nowpayments[punto]io, una plataforma para aceptar pagos cripto. Funciona algo así. Allí, le pedía el 0,5% del valor de los BTCs (que pagó).

-   La dirección BTC es la misma que la referenciada en el hilo del foro al respecto.


La plataforma de pagos, si no me equivoco, tiene KYC, por lo que el timador o es un poco pardillo (que no lo parece), o habrá usado datos falsos.

Ver: https://www.reddit.com/r/CryptoCurrency/comments/v07x85/weird_genius_or_dumb_af_scam_alert_public_service/

Aunque los scammers (en este caso los de Australia) estén tratando de reinventarse para sacar más dinero, el hecho de que la web requiera ese deposito para el retiro debería ser suficiente para que cualquiera que sepa como funcionan las llaves privadas detecte el engaño. Lo que me llama la atención es que el scammer tuvo la agudeza mental de utilizar una dirección con fondos como la supuesta clave pública de la wallet de papel (la carnada) sabiendo que alguien mínimamente enterado de Bitcoin primero revisaría el saldo (el cual parece estar efectivamente bajo el poder real del scammer); aunado a que luego de revisar el saldo la mayoría en el hilo dieron la wallet como verdadera y debatían sobre el mejor curso para regresar los satoshis, es decir, que a ese punto en la mente colectiva no se pensaba en un bait. Luego empezó la investigación y eso.

Si este scam logró convencer por un momento a personas que tienen un alto conocimiento de Bitcoin y que lidian con Scams muchas veces, ya te puedes imaginar que pasaría si esto lo encontrase una persona que solo ha visto sobre Bitcoin en las noticias ocasionales durante los bull markets.

La sección del foro donde está explicado el caso no la visito en demasía, por lo que no había visto el caso que has traído a la mesa (*). Tiene cierto grado de ingenio, y por lo que he visto, el consenso en el hilo es que el código QR que trae te lleva a un site, el cual te señala que para obtener los BTCs tienes que depositar una cierta cantidad primero.

Vamos, algo que no es novedoso en espíritu, pero que con el toque de haber encontrado algo físico, le puede dar algo más de "credibilidad" en relación a algo que encuentras o te llega por internet o correo electrónico.


(*) Si lo había meritado, en mi sMerit Spree número 25, pero el criterio que usé precisamente meritaba posts que no había meritado ni probablemente leído.

Quisiera llamar la atención de todos los que participan por aquí para dar a conocer una información que creo importante y relevante con el tema de este hilo, quizá muchos ya lo hayan visto.

Encontré un hilo abierto hace un par de meses de un usuario que clamaba haber encontrado una billetera de papel en la playa y para más asombro: cargada con BTC 0,6.


La discusión inicial del hilo se baso en formas teóricas de que hacer con los fondos, como de volverlos y la legalidad de conservarlos en caso de ser imposible encontrar el dueño original.


La conversación da un giro brusco cuando se encuentra con una segunda wallet de papel, poco a poco se llega a la conclusión de que todo esto es un elaborado scam, básicamente fishing en la vida real, reemplazando la carnada típica de correo spam urgente con una wallet cargada en una pequeña bolsa plástica, aún no tengo 100% seguro como funciona la trampa, si quieren más información, lean el hilo.




Desconfíen de toda wallet que se encuentren "por casualidad".

Edit:

https://www.reddit.com/r/CryptoScamReport/comments/wemzws/comment/iiq7wo8/

Es curioso como esto del malware para robar datos se convierte también, en algunos casos, en un servicio con cuotas de pago periódicas para los contratantes, además de facilidades en su uso y explotación, incluyendo Cuadros de Mandos para ver los datos que uno va robando por doquier.

Hoy he visto algunos posts y artículos respecto de un malware llamado Erbium, que de manera resumida, logra recopilar contraseñas de carteras crypto, contraseñas de cuentas bancarias, número de tarjetas, cookies, datos de autocompletados, ficheros, datos de geoposicionamiento, capturas de pantalla, ficheros, etc.

Se propaga por los medios convencionales de enlaces en correos, anuncios maliciosos, loaders de software pirata y demás, habiéndose detectado por ahora en España, Portugal, Francia Italia, Colombia y USA entre otros.   


Ver:
https://www.cyfirma.com/outofband/erbium-stealer-malware-report/
https://blog.cluster25.duskrise.com/2022/09/15/erbium-stealer-a-new-infostealer

Pues hay dos razones principales para eso, la primera es la ignorancia, la mayoría de las personas no tienen conocimiento de la existencia del software libre, para ellos tan sólo existe Windows y Mac y jamás han oído hablar de Linux, la segunda razón es simplemente la costumbre, una vez que has aprendido hacer algo de una cierta manera hay mucha reticencia a cambiar, aunque las diferentes distribuciones de Linux ahora son mucho más amigables con el usuario siguen teniendo alguna que otra complicación y las personas no quieren batallar, al primer signo de problemas deciden que prefieren volver a lo que ya conocían.

Ahora bien hay todavía más razones aunque me parecen que tienen menos influencia, por ejemplo las personas no toman en serio su seguridad en línea, realmente piensan que no tienen nada que ocultar y por lo tanto no toman ni la más mínima precaución, olvidando que la información en su computador es increíblemente valiosa para los hackers, y como sabemos Windows es mucho más vulnerable que Linux, también hay que reconocer que no todo software propietario tiene una versión libre aceptable y por lo tanto las personas se ven forzadas a usar Windows, ahora bien se puede intentar usar WINE para correr ese software pero si es demasiado intensivo cuando se trata de gráficas probablemente no vaya a funcionar muy bien.

Es que esto es lo ideal, lo que pasa es que no muchas personas les gusta, menos si les dices que es mejor trabajar con comandos, a mi la distribución Ubuntu me va muy bien, desde que la vi en el 3er semestre de la u me enamoré de Linux, para ese tiempo un amigo era tan bueno con la programación que le hizo muchas correcciones a Linux, la verdad no sé donde estará porque se dedicó fué a programar, lo que me gusta es que se soporta en la PC, y puedo elegir al inciar sesión , a veces no lo niego se me hace más fácil entrar y hacer cosas por Windows, pero últimamente los ataques han sido violentos, más con las cuestiones de crypto, además por experiencia propia les he puesto Linux a varias personas y no les gusta el ambiente, les parece complicado, y se van por Windows, pero si todos usáramos Linux ya no habrían problema alguno de  virus.

¿Para que bajar software pirata cuando hay mucho Software Libre?

Con los teléfonos es un poco mas fastidioso porque no es tan fácil instalar f-droid, pero al lograrlo al menos tienes una fuente fiable de aplicaciones.

Son muy pocos los teléfonos que trabajan solo con software libre (y un sistema operativo libre), pero ese sería el ideal. Al menos se puede hacer ya en la PC.

Tampoco nos olvidemos de las Apps que nos descargamos, e incluso de las extensiones que añadimos a nuestros navegadores (que yo intento personalmente limitar al máximo). Se ve que estos días circula una que, camuflada como una extensión para trabajar con Google Docs, alegremente se dedica a cambiar las direcciones cripto que utilizamos desde el ordenador.

Específicamente, el artículo abajo referenciado cita que el cambio de dirección lo hace al detectar que interactúas con Coinbase, Kucoin, Binance y GateIO, pero vamos, que mañana es cualquier otra.

Ver:
https://medium.com/@walletguardofficial/web3-extension-malware-google-sheets-ac6d9fb6658d
https://bitcointalksearch.org/topic/web3-extension-malware-5410664

Todavía recuerdo aquellos días en los que los usuarios compartían software pirata por amor al arte. Supongo que en aquellos tiempos nadie pagaba todavía a través de Internet (¿qué es eso de meter mi número de cuenta/tarjeta bancaria en el ordenador, estamos locos?) y no era práctico o rentable económicamente insertar un virus, y que solo lo hacían los hackers que tenían ganas de fastidiar de manera gratuita.

Al ser ya generalizado el uso o incluso almacenamiento de las credenciales bancarias en el ordenador, y con el auge de las carteras de escritorio, esto cada vez será más común. Maldita sofisticación.

Sólo por traer un caso para recalcar el riesgo que entraña bajarse software pirata. El caso viene de la mano de un miembro del foro que, muy probablemente, se ha visto infectado al descargarse e intentar instalarse un juego pirata.

Aunque no es seguro que este fuese el origen de sus problemas, sí que es algo muy probable que así fuese. Como resultado, aparte del mar de dudas que tiene respecto de cómo proceder, ha visto como:

-   Su Trust wallet ha sido vaciada (importe bajo, pero bueno).

-   Determinadas cuentas han sido tomadas por parte de terceros (cuenta de juegos, y de redes sociales).

A saber qué hay ahora en su máquina (keylogger, control remoto, etc.) como resultado, lo cual debe hacer recapacitar a quienes aún se bajan software pirata.

Por cierto, que si hay varios ordenadores en una red doméstica, los problemas de uno podrían llegar a afectar a los demás.

Ver: https://bitcointalksearch.org/topic/m.60772888

Lo cual es bastante inútil durante el tiempo de actividad del equipo, que es mas que suficiente para los malware hacer y deshacer, e incluso dañar el deep freeze. Tu problema es Windows, pasan las décadas y aun no lo comprendes...

No al contrario, este tipo de respuestas a veces parecen personales como tipo esto es lo que debes hacer y en mi caso son generales en la idea, así que dado el usuario que eres en su capacidad de comprensión, uno trata de aprender también en la respuesta y que le sirva a la comunidad. Si no conociera tu capacidad de comunidad lo hubiere enfocado diferente, quizás sin quotes individuales

Si, conozco el software que nombras, de hecho por allá a inicios del siglo XXI, se usaba mucho (de donde lo conozco) en los negocios de "cibers o ciber café", venían por lo general en un CD "quemadito" software de gestión de tiempos PCs+ese DF, funciona bien en ese tipo de maquinas que no son personales.

Muchas gracias @famosos Muertos como siempre con posts excelentes y respuestas que ayudan bastante, en mi caso tengo un congelador, el Deep Freezer, lo cual cuando apagas tu PC lo que hace es borrar todo lo que se hizo, la única manera es guardar el trabajo hecho en una partición, así que si entra un virus es como si nunca hubiece entrado, esto lo tomé como precausión cuando mi navegador se ralentizaba por todo, algunas personas usan para Windows el Windows Defender, lo cual no es malo, otros el Iobit que es excelente, creo que ya están atacando a los ransonware, todo esto conlleva a que no se deje entrar ni un solo virus.

Un aspecto a ponderar sería el del grado de validez de los antivirus como defensa ante este tipo de ataques. Tenerlo activo y actualizado da cierta sensación de seguridad, pero no son infranqueables – dependerá de la técnica usada por el virus/malware, las contramedidas del antivirus en concreto usado, el momento del ataque (cuanto más nuevo, menos controlado), lo actualizado que esté el antivirus, etc.  No estoy diciendo que no sirvan, todo lo contrario, son importantísimos, pero son elementos de acción más bien reactivos, y gran parte de nuestras defensas debería focalizarse en la proactividad de instalarse lo menos imprescindible, y no bajarse fuentes con fiables.

Efectivamente, el importe de 0.255 BTCs no es pequeño para muchos, pero bajo el prisma de reiterar sobre una noticia que versa acerca de algo que no ha dejado de suceder en años, bajo el punto de vista macro-informativo, no es de las cifras que pensaría llamaría la atención a la prensa del medio.

Depende a quien le preguntes 

Tiempo de vida...? bueno, definir eso es fácil, cuando lo eliminas de tu PC.


El origen es informático y su ejecución es gracias a un hacker, que utiliza distintas vías para que tu caigas en el clic y se pueda ejecutar con éxito en una PC. Asì que tener un buen antivirus y SO actualizado entre otras acciones son básicas para mantenerse lejos de un malware.

Mencionan el exchange porque fue el destino usado para el cambio de direcciòn.

Bueno hay distintas maneras de que te llegue un malware a tu Pc, teléfono, etc. Pero en este caso preciso es del tipo como mencionan arriba "clipboard jacking" lo horrible de este virus es que muchas veces por su simpleza pasa desapercibido, ya que es un simple copy y pegar, en ese proceso se cambia la dirección destino.

Creo que este tipo de virus se puede confundir con los clásicos keyloggers que copian todo lo que escribas o el uso extendido del teclado.

En este caso que nos atañe es también conocido como Secuestrador de portapapeles.

^{Fuente:https://www.criptonoticias.com/criptopedia/malwares-hackeos-comunes-bitcoin-criptomonedas/}

En la cita mencionan a CryptoShuffler, un villano conocido desde el año 2017, pero el nombre es lo de menos, ya que sin importar su procedencia o nombre, es lo que este realiza.

Esa fuente es bastante completa pues menciona el Cryptojacking, Ransonware, Keyloggers, Ratas, Hackeos a Exchange, acceso Wifi, secuestro de DNS, Bugs en contratos inteligentes (algo mencionas por ahí, creo) en realidad la fuente es extensiva a Malwares e incluye hackeos.

El medio de ataque o técnica puede cambiar y en consecuencia el proceso puede ser diferente, pero el objetivo siempre es el de obtener beneficios económicos. A veces se ponen de moda algunos, los malware siempre están ahì y los hackeos son populares dependiendo de la cantidad o del cliente que perjudican, ya sea individuo o empresa.

Creo que seguir los pasos de seguridad clásicos y mantener un adecuado uso del clic es de por si la moda a seguir siempre.

Me sorprende porque ya este tipo de Virus es como si contuviera Inteligencia Artificial, por lo general siempre que se hace una transacción me aprendo los 3 primeros dígitos de la dirección a enviar y los 3 últimos, esto lo hago yo a medida de protección , es algo natural, pero si es necesario verificar varias veces hasta estar más seguro, lo que no comprendo es cuánto es el tiempo de vida de este tipo de virus o malware, y bueno si era de un exchange sudafricano o si es de un origen no común hay que ponerle la lupa, este tipo de casos suele ocurrir en los exchanges descentralizados cuando hay muchos que se dedicana lanzar contratos con nombres muy similares a los de monedas que estén a punto de hacer un buen pump, no es descartable si a ese usuario "C" se habrá confundido de esa manera.


Entonces si las cosas se agravan, lo más seguro es entrar a hacer una transacción de BTC casi que con el protocolo que se debe tener montado para entrar en la darkweb, hacerse una infraestructura de ese estilo, sobre todo con una máquina virtual.

Diría que de la práctica de copiar/pegar la dirección no se libra nadie, y que el quid de la cuestión (más allá del control excelso en lo que se descarga e instala) está en verificar la dirección antes de confirmar la TX, siendo disciplinados en ello. No obstante, tal y como indica @Silberman, esta tarea precisa de exhaustividad, y presumible habrá muchos escenarios cotidianos en los cuales uno no la lleve a cabo por el empuje del momento (no es lo mismo cómodamente en casa que en una cola para pagar).

En el ámbito de los pagos BTC, también tenemos de manera frecuente que contemplar el rol de los códigos QR. Quizás el riesgo del clipboard jacking se mitigue con este método (no tengo claro si incluso se erradica), pero abre otras posibilidades a vigilar de cerca por parte del pagador (y más aún para el emisor del código QR).

Pues como ya se ha mencionado este modus operandi no es nada nuevo, sin embargo, continuará siendo efectivo para los hackers, después de todo ¿Alguien se ha tomado el tiempo de tratar de escribir una dirección bitcoin carácter por carácter? Porque al menos en mi caso no es así, uso el clásico copy & paste como la mayoría, ahora bien, checo cada carácter y me aseguro de que estén correctos para evitar problemas.

Sin embargo, una vez la adopción crezca más y el uso de bitcoin se vuelva rutinario estos ataques seguirán siendo efectivos, pues es dudoso que las personas se vayan a tomar un minuto de su tiempo cada vez que quieran comprar un café u otro artículo de bajo valor como ese para checar que no haya alguna discrepancia en la dirección a la que queremos enviar nuestro bitcoin.

Por último, añadiría que checar algunos pocos caracteres al principio y al final no es suficiente, dado que según recuerdo había versiones más avanzadas de este malware que podían remplazar la dirección destino con una dirección que empezase con los mismos caracteres, derrotando este método de protección, dejándonos con ninguna otra alternativa más que verificar todos los caracteres uno por uno.

OP: Hay que tener más precaución están ocurriendo muchas cosas en segundo plano, literal, tanto offline como online, días de incertidumbre por donde se le mire, y muchas noticias reflotan en versión de re-escritas y/o actualizadas a lo que se esta viviendo.

Como bien dice Ddmr ya hay un antecedente documentado, en cuanto a lo del antivirus, hasta tema de sponsor involucrado, el conflicto se extiende tal cual contagioso este cualquier cosa relacionada a los rusos o ucranianos.

En general sin importar lo que se tenga instalado no solo a nivel de antivirus, sino de SO, la revisión manual en este caso funciona muy bien, siempre es bueno revisar lo que se cree una esta copiando es lo correcto.

Casi que me sorprende ver la noticia en Cointelegraph a estas alturas. El importe robado no es nada desdeñable, pero tampoco rompedor, y la mecánica lleva ya muchos años de vigencia (clipboard jacking).

Hay que verificar bien la dirección y los montantes del destino de una TX, pero sobretodo hay que evitar el punto de partida, que suele ser el de descargarse software pirata o darle a enlaces que activan ejecutables o macros. Hace poco vimos reportado como uno de los crakeadores de windows más conocidos, el KMS, venía en algunos casos embebido con otro software malicioso.

Los antivirus pueden mitigar estas situaciones, pero no está garantizado ni mucho menos. Es más, para instalar software pirata, se suele pedir desactivar el antivirus, quedando expuesto a su instalación. Reitero, que es más importante ser tremendamente consciente y cauteloso con lo que se baja (y ojo si hay varios usuarios accediendo al equipo) que otra cosa.

Por cierto, que hasta ciertos antivirus pueden estar bajo sospecha en los tiempos que corren …

Nota: En el artículo no se indica cómo se sospecha se llegó a instalar el malware. Indica que se quitó, pero que persistía (ergo no se quitó).

  Los malwares volvieron hacer de las suyas;  un usuario de bitcoin  fue victima de un ataque cibernético recientemente, el reporte se realizo por Luis Nel, «aficionado de las criptomonedas y bloguero tecnológico», el cual comento en su cuenta de Twitter que la estafa le arrebato a su amigo identificado como «C» un total de 0.255 BTC equivalente a USD 10,000,   además le indico  a Cointelegraph que «Bitcoin de C fue enviado desde Kraken a VALR, un Exchange sudafricano", sin embargo, "el malware que se ejecutaba en su computadora interceptó los datos copiados e insertó una nueva dirección de billetera cuando pegó esto sin darse cuenta». Este tipo de engaño se volvió muy común desde que las criptomonedas empezaron a tomar cierto valor en el mundo de las finanzas; por ello es factible recordar cada que se pueda a las personas que realizan estos intercambios, que verifiquen cada paso que realicen dos veces y así evitar este tipo de acontecimientos tan desmotivadores, tal como lo dice Luis “Cuando trabajas con Bitcoin y criptomonedas, eres responsable de tu propia seguridad. Al copiar y pegar direcciones de billetera, siempre verifique los primeros cuatro a seis caracteres y los últimos cuatro a seis para asegurarse de que coincidan”.

¿Es posible que estos ataques aumenten con el paso del tiempo? ¿Qué posibilidades hay de que surja un programa que detecte estos malwares antes de cualquier transacción?




FUENTE: https://es.cointelegraph.com/news/bitcoin-stealing-malware-bitter-reminder-for-crypto-users-to-stay-vigilant