Detectada una nueva campaña de malware que roba criptomonedas
- Actualidad
Los expertos de Kaspersky han descubierto una nueva campaña del downloader Satacom, una amenaza que se sirve de una extensión maliciosa para los navegadores Chrome, Brave y Opera para robar criptomonedas. Los atacantes han implementado una gran variedad de acciones maliciosas para que la extensión no sea detectada cuando el usuario navega por sitios web de intercambio de criptoactivos, como Coinbase o Binance.
Según explica la firma de ciberseguridad, la nueva campaña está vinculada al downloader Satacom, una conocida familia de malware activa desde 2019 y que se difunde principalmente a través de publicidad maliciosa en sitios web de terceros. Los enlaces o anuncios redirigen al usuario a falsos servicios de intercambio de archivos y otras páginas que ofrecen descargar un fichero que contiene el downloader Satacom. En el caso de esta reciente campaña, lo que se descarga es una extensión maliciosa del navegador.
El objetivo principal de esta campaña maliciosa es robar bitcoin (BTC) de las cuentas de las víctimas a través de webs de criptomonedas. El malware instala una extensión para navegadores basados en Chromium, como Chrome, Brave y Opera, y se dirige a usuarios de criptomonedas de todo el mundo. Según los datos de Kaspersky, los países más afectados son Brasil, Argelia, Turquía, Vietnam, Indonesia, India, Egipto y México.
Esta extensión manipula el navegador cuando el usuario se mueve por sitios específicos de intercambio de criptomonedas: Coinbase, Bybit, Kucoin, Huobi, Binance… Además de robar las criptomonedas, esconde las confirmaciones de transacciones realizadas por email y modifica los hilos de correo de los sitios web de criptomonedas para crear otros falsos y engañar así a la víctima.
Los ciberdelincuentes ni siquiera necesitan encontrar formas de colarse en las tiendas de extensiones oficiales, ya que utilizan directamente el downloader Satacom para llegar a la víctima. La infección arranca con un archivo ZIP descargado de una web que imita los clásicos portales de apps gratuitas. Satacom generalmente descarga varios binarios en el equipo de la víctima. En este caso, los expertos de Kaspersky han observado un script de PowerShell que instala la extensión maliciosa. Esta se ejecuta de forma sigilosa cuando el usuario navega por Internet, permitiendo la transmisión de bitcoins desde la billetera de la víctima a la de los ciberdelincuentes mediante inyecciones web.
Haim Zigel, analista de malware de la compañía, ha subrayado que los ciberdelincuentes han mejorado la extensión con la capacidad de controlarla a través de cambios en el script, lo que supone que pueden enfocarse fácilmente a otras criptomonedas. Además, puede vulnerar Windows, Linux y macOS. "Recomendamos a los usuarios verificar regularmente sus cuentas para detectar cualquier actividad sospechosa, así como utilizar soluciones de seguridad de confianza para protegerse de amenazas como esta", aconseja.
