Parte de la misión de informar sobre actualidad incluye el cuidado de nuestros usuarios, por lo cual informamos de casos conocidos y actuales de ataques a los poseedores de cripto. En esta ocasión la alarma lo hicieron sonar las personas de CoinTelegraph, quienes expusieron un caso de scam que imita a Cryptohopper, una plataforma que ayuda a los intercambios automatizados.
Todo comenzó con el usuario de Twitter e investigador de malware Fumik0_, quien descubrió un sitio web que propaga malware de criptomoneda, según un informe de Bleeping Computer el 5 de junio. Explican que el host para transmitir estos virus es un sitio web que imita el sitio web de Cryptohopper, una plataforma donde los usuarios pueden programar herramientas para realizar transacciones automáticas de criptomoneda.
La manera que funciona el ataque es que cuando se visita el sitio de estafa, se descarga automáticamente un instalador setup.exe, que infectará la computadora una vez que se ejecute. El panel de configuración también mostrará el logotipo de Cryptohopper en otro intento de engañar al usuario.
Se dice que la ejecución del instalador instala el troyano de robo de información Vidar, que además instala dos troyanos Qulab para la minería y el secuestro del portapapeles. El clipper y los mineros se implementan una vez por minuto para recopilar datos de forma continua.
El propio troyano de robo de información Vidar intentará obtener todos los datos del usuario, como las cookies del navegador, el historial del navegador, la información de pago del navegador, las credenciales de inicio de sesión guardadas y las carteras de criptomonedas. La información se compila periódicamente y se envía a un servidor remoto, después de lo cual se elimina la compilación.
El secuestrador del portapapeles Qulab intentará sustituir sus propias direcciones en el portapapeles cuando reconozca que un usuario ha copiado una cadena que parece una dirección de billetera. Esto permite que las transacciones de criptomoneda iniciadas por el usuario se redirijan a la dirección del atacante.
Este secuestrador tiene sustituciones de dirección disponibles para Ether (ETH), Bitcoin (BTC), Bitcoin Cash (BCH), Dogecoin (DOGE), Dash (DASH), Litecoin (LTC), Zcash (ZEC), Bitcoin Gold (BTG), XRP y Qtum.
Por este tipo de ataques, instamos a nuestros lectores a revisar bien la dirección de las páginas web que buscan, particularmente si utilizan el buscador de Google.
