Los expertos de Kaspersky han descubierto esta nueva amenaza, que se sirve de una extensión maliciosa para los navegadores Chrome, Brave y Opera. Los atacantes han implementado una gran variedad de acciones maliciosas para que la extensión no sea detectada cuando el usuario navega por sitios web de intercambio de criptoactivos, como Coinbase o Binance.
La extensión permite a los ciberdelincuentes ocultar cualquier notificación de transacción enviada a la víctima a través de estas webs y les roba de forma silenciosa las criptomonedas. El informe detallado sobre esta campaña está disponible en Securelist.
La nueva campaña está vinculada al downloader Satacom, una conocida familia de malware activa desde 2019 y que se difunde principalmente a través de publicidad maliciosa en sitios web de terceros. Los enlaces o anuncios redirigen al usuario a falsos servicios de intercambio de archivos y otras páginas que ofrecen descargar un fichero que contiene el downloader Satacom. En el caso de esta reciente campaña, lo que se descarga es una extensión maliciosa del navegador.
La extensión maliciosa roba criptomonedas y esconde su actividad
El objetivo principal de esta campaña maliciosa es robar bitcoin (BTC) de las cuentas de las víctimas a través de webs de criptomonedas. El malware instala una extensión para navegadores basados en Chromium, como Chrome, Brave y Opera, y se dirige a usuarios de criptomonedas de todo el mundo. Según los datos de Kaspersky, los países más afectados son Brasil, Argelia, Turquía, Vietnam, Indonesia, India, Egipto y México.
Esta extensión manipula el navegador cuando el usuario se mueve por sitios específicos de intercambio de criptomonedas: Coinbase, Bybit, Kucoin, Huobi, Binance… Además de robar las criptomonedas, esconde las confirmaciones de transacciones realizadas por email y modifica los hilos de correo de los sitios web de criptomonedas para crear otros falsos y engañar así a la víctima.
Los ciberdelincuentes ni siquiera necesitan encontrar formas de colarse en las tiendas de extensiones oficiales, ya que utilizan directamente el downloader Satacom para llegar a la víctima. La infección arranca con un archivo ZIP descargado de una web que imita los clásicos portales de apps gratuitas. Satacom generalmente descarga varios binarios en el equipo de la víctima. En este caso, los expertos de Kaspersky han observado un script de PowerShell que instala la extensión maliciosa. Esta se ejecuta de forma sigilosa cuando el usuario navega por Internet, permitiendo la transmisión de bitcoins desde la billetera de la víctima a la de los ciberdelincuentes mediante inyecciones web.
Ejemplo de correo electrónico fraudulento
«Los ciberdelincuentes han mejorado la extensión con la capacidad de controlarla a través de cambios en el script. Esto supone que pueden enfocarse fácilmente a otras criptomonedas. Además, puede vulnerar Windows, Linux y macOS. Recomendamos a los usuarios verificar regularmente sus cuentas para detectar cualquier actividad sospechosa, así como utilizar soluciones de seguridad de confianza para protegerse de amenazas como esta», asegura Haim Zigel, analista de malware de Kaspersky.
Para operar con criptomonedas de forma segura, los expertos recomiendan:
- Mantenerse alerta contra el phishing. Los estafadores usan a menudo correos electrónicos de phishing o sitios web falsos para que la víctima revele sus credenciales de inicio de sesión o contraseñas. Por ello, es aconsejable verificar dos veces la URL del sitio y no hacer clic en ningún enlace sospechoso.
- No compartir nunca las claves privadas que desbloquean la billetera de criptomonedas
- Mantenerse informado sobre las últimas amenazas cibernéticas y las mejores prácticas para proteger las criptomonedas. Cuanto más se sepa acerca de cómo protegerse, menos probabilidades hay de caer en este tipo de ataques.
- Antes de invertir en cualquier criptomoneda es importante analizar el proyecto y conocer el equipo que hay detrás. Es importante visitar la web, así como consultar su libro blanco y sus redes sociales para asegurarse de que el proyecto es legítimo.
- Usar soluciones de seguridad de confianza. Protegerá los dispositivos de diferentes tipos de amenazas.