Seguridad de los fondos: virus en busca de wallet.dat

Algunos de los virus técnicamente más avanzados se aprovechan de los ahorros criptográficos de los usuarios.

El primer malware que buscaba las criptomonedas de los usuarios fueron virus y troyanos que robaban el archivo de clave privada de una billetera instalada localmente en el dispositivo del usuario. Siempre hay una gran cantidad de usuarios que, por diversas razones, almacenan sus fondos en billeteras locales. En el momento de la aparición de los primeros troyanos que funcionaban según este esquema, había muy pocos monederos online, por lo que los usuarios se veían obligados a guardar sus ahorros cibernéticos directamente en sus dispositivos (ordenadores, teléfonos inteligentes, tabletas, etc.). E incluso ahora, cuando han aparecido muchos servicios para el almacenamiento de fondos en línea, algunos usuarios no confían en ellos y prefieren conservar sus claves.

El primer troyano, cuyo objetivo era robar el archivo wallet.dat que contiene claves privadas y otros datos sobre la billetera del usuario, fue descubierto en junio de 2011 por Symantec y se llamó Infostealer.Coinbit. Al penetrar en el sistema de la víctima, detectó el archivo wallet.dat y lo reenvió a los atacantes.

Al principio, había poca información técnica sobre las criptomonedas y la seguridad de trabajar con billeteras locales, e incluso ahora muchos usuarios no quieren profundizar en las complejidades de cómo funciona este software. Por lo tanto, existe una categoría de usuarios que no habilitan la opción de cifrar el archivo clave o usan contraseñas muy débiles y, gracias a esto, se convierten en una presa muy fácil para el troyano; después de todo, sólo necesita obtener el archivo clave y el atacante obtiene control total sobre los fondos del usuario.

Pero los usuarios que cifran sus claves con contraseñas largas y complejas no son inmunes a perder sus ahorros. Los atacantes no se quedan quietos. Amplían las capacidades de sus creaciones con registradores de teclas, interceptan el portapapeles, monitorean el correo del usuario y los sitios que visitan, intentando por cualquier medio interceptar la contraseña del archivo clave o de la billetera en línea del usuario.

A principios de 2014, se descubrió el ladrón de criptomonedas más universal: CryptoStealer. Su primera versión admitía 80 criptomonedas. No solo conocía la estructura de almacenamiento de archivos de claves para cada billetera, sino que también sabía cómo infiltrarse en los procesos en ejecución de programas de criptomonedas, por ejemplo bitcoin-qt.exe, para interceptar las contraseñas de acceso a las claves... Este malware no despertó sospechas entre los programas antivirus durante bastante tiempo, ya sea por su implementación extremadamente competente en los procesos en ejecución o por el tráfico de Internet que generó.

Más tarde, en agosto de 2017, los especialistas de Trend Micro informaron que Cerber, uno de los virus de cifrado más extendidos y graves del momento, recibió una nueva ronda de desarrollo funcional. Ahora, antes de cifrar el disco de la víctima, el troyano busca signos de la presencia de carteras Bitcoin Core, Electrum y Multibit en el dispositivo. También intenta robar contraseñas guardadas de los navegadores Internet Explorer, Google Chrome y Mozilla Firefox. Todos los datos robados se envían al servidor de control y luego todo lo que se encontró y asoció con las billeteras se elimina del dispositivo de la víctima.

Мы привели примеры лишь нескольких самых примечательных трянов, работающих по схеме похищения кошельков пользователей. Su número real es mucho mayor. Pero la complejidad de este tipo de malware es también su debilidad. Debido a que estos troyanos interfieren activamente con el funcionamiento del sistema (intentando acceder a archivos específicos, pulsando teclas, transfiriendo archivos a través de la red, etc.), los analizadores heurísticos de software antivirus los detectan con bastante frecuencia y facilidad y se bloquean rápidamente. Por lo tanto, los expertos en seguridad siempre recomiendan utilizar antivirus modernos con las últimas bases de datos de virus (la elección de una solución antivirus específica depende del sistema operativo del usuario, así como de su disposición a pagar por la seguridad de sus datos). Describiremos nuestras recomendaciones para almacenar y garantizar la seguridad de los ahorros criptográficos en uno de nuestros próximos artículos.