Detectados ataques que aprovechan los cracks de aplicaciones de Microsoft y Adobe
- Endpoint
Durante los últimos tres años, los ataques han estado robado datos y criptomonedas de las billeteras de Monero mediante la instalación de malware a través de los cracks de Microsoft Office y Adobe Photoshop CC, entre otras soluciones. España acapara el 3,2% de las víctimas a nivel global.
|
Recomendados: Informe global de ciberamenazas en 2021 Leer Crowdstrike Falcon Complete, detección y respuesta gestionada Leer |
Bitdefender ha detectado una serie de ataques que aprovechan los cracks de herramientas ofimáticas y de edición de imágenes para instalar un malware de puerta trasera que consigue comprometer PCs, robar carteras de criptomonedas y exfiltrar datos a través de la red TOR. En esta investigación llevada a cabo a nivel global, España aparece como el octavo país más afectado por esta práctica, acaparando un 3,2% de las víctimas totales. Este tipo de ataque está activo desde la segunda mitad de 2018.
Los cracks son pequeñas aplicaciones, fáciles de usar, que están disponibles en sitios web especializados, cuya instalación permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta investigación demuestra cómo a través de los cracks de aplicaciones como Microsoft Office y Adobe Photoshop CC, entre otras, se instala un malware de puerta trasera mediante el que el ciberdelincuente consigue el control total del dispositivo, por lo que puede robar contraseñas, archivos locales, PINs o cualquier otra credencial. Si el atacante identifica una cartera de Monero almacenada en el dispositivo, podrá robarla, junto con todas sus criptomonedas.
Los perfiles del navegador Firefox pueden ser pirateados, lo que permite hacerse con contraseñas de inicio de sesión almacenadas, historial de navegación, marcadores y cookies de sesión. Con respecto a estas últimas, Bitdefender recuerda que a través de las cookies de sesión es posible acceder a distintos servicios sin necesidad de contraseñas o de autenticaciones de doble factor (2FA).
Los investigadores explican que una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta legítima para enviar datos sin procesar a través de la red), así como un proxy TOR. Además, se coloca también en el disco un archivo batch que contiene la línea de comandos para el componente Ncat y que recorre los puertos 8000 a 9000 sobre un dominio .onion. Estas herramientas trabajan juntas para crear una puerta trasera que se comunica con el centro de comando y control a través de TOR.
