Bitcoin, debido a su particular naturaleza y su sistema de funcionamiento, es un objetivo bastante suculento para los ciberdelincuentes. La inmediatez en las transacciones, sumada a la no reversibilidad de las mismas, hacen que cualquier ataque exitoso proporcione un resultado instantáneo, y además dificulta notablemente la posibilidad de dar con su autor. Así, es normal que cada cierto tiempo tengamos conocimiento de nuevos ataques alrededor de la ciberdivisa.
Hoy hemos sabido, gracias a una investigación llevada a cabo por MyCrypto and PhishFort, que puedes encontrar publicada en Medium, que Google ha eliminado 49 extensiones de Chrome de la tienda web. La razón de ello es que estos complementos para el navegador se hacían pasar por aplicaciones legítimas de billetera de bitcoin, pero en realidad contenían código malicioso destinado a robar contraseñas, frases mnemotécnicas y demás información, con el fin de poder acceder a estos contenedores de cibermonedas.
MS Recomienda
Según Harry Denley, director de seguridad de la plataforma MyCrypto y principal responsable de la investigación, las 49 extensiones fraudulentas, aunque hay algunas pequeñas diferencias en el funcionamiento de unas y otras, apuntan a provenir del mismo origen. Para llegar a esta conclusión se basa en los 14 servidores C2S (Command & Control Server, el tipo de servidor estándar en redes botnet centralizadas).
«Si bien algunos de los dominios son relativamente antiguos, el 80% de los C2 se registraron entre marzo y abril de 2020. El dominio más antiguo tiene la mayoría de las «conexiones» a otros C2 en términos de huellas digitales, por lo que tenemos alguna indicación del mismo kit de back-end (o los mismos actores detrás de esto) para la mayoría de las extensiones», según Deenley. En cuanto a su origen geográfico, hay varios puntos que señalan a Rusia.
Las extensiones, ya eliminadas, fingían ser versiones legítimas de servicios relacionados con bitcoin, y ofrecían tanto un diseño como un modo de funcionamiento similar, De esta manera, pretendían engañar a los usuarios, haciéndoles pensar que estaban en el servicio que emplean normalmente para gestionar sus cibermonedas, cuando en realidad la extensión fraudulenta estaba haciéndose con las credenciales de acceso.
Algo llamativo, eso sí, es que según el investigador los robos no se producían de manera inmediata, tras obtener las credenciales. Para explicarlo plantea dos teorías: o el creador de las extensiones está interesado en robar fondos solo de cuentas de alto valor, o no ha descubierto cómo automatizar los robos y tiene que acceder a cada cuenta manualmente. Para probarlo, él mismo empleo una de estas extensiones con una cuenta de prueba, y los fondos no fueron robados de inmediato
Ahora la principal preocupación, puesto que no ha sido posible identificar al creador, es que en los próximos meses aparezcan nuevas extensiones similares.
Fuente:https://www.muyseguridad.net