Un nuevo virus roba monedas electrónicas reemplazando datos en el portapapeles

Los expertos en ciberseguridad de Palo Alto Networks descubrieron un virus llamado ComboJack mientras monitoreaban una campaña de phishing por correo electrónico dirigida a clientes en Japón y Estados Unidos.

El virus roba Bitcoin, Ethereum, Monero y Litecoin. Pero no sólo las criptomonedas son el objetivo de ComboJack. También está destinado a transacciones fraudulentas con sistemas de pago digitales, cuya lista incluye Yandex.Money y WebMoney.

Se solicita a la víctima potencial que abra el archivo adjunto, después de lo cual se inicia automáticamente el archivo RTF integrado con el exploit CVE-2017-8759. Es él quien libera las manos de los estafadores y brinda la posibilidad de ingresar código y ejecutar comandos de PowerShell, que se utilizan para ejecutar el script ComboJack.

El programa retira dinero reemplazando la dirección de destino de la transacción criptográfica con la dirección de la billetera del delincuente. Las víctimas del virus son usuarios que no verifican la dirección de destino de las transacciones antes de aprobarlas.

"La táctica se basa en el hecho de que las direcciones de billetera suelen ser largas y difíciles de recordar. La mayoría de los usuarios prefieren copiar esa cadena en el portapapeles para evitar posibles errores", escriben los expertos de Palo Alto Networks en el informe.

El virus "vive" debido a una vulnerabilidad que Microsoft solucionó a principios del otoño del año pasado. Para protegerse, se recomienda a los usuarios que reinstale el software del sistema.

El hecho de que estos esquemas sigan funcionando sugiere que los usuarios todavía son demasiado confiados, lo que los estafadores aprovechan con éxito.

Basado en materiales de https://researchcenter.paloaltonetworks.com