7 Shares 1262 Views 1 Comments

Cómo se utilizan los cracks de Microsoft Office y Adobe Photoshop CC para el robo de datos y criptomonedas

20 abril, 2021
7 Compartido 1,262 Visualizaciones 1

España como octavo país más afectado por esta práctica, al acaparar el 3,2% de las víctimas a nivel global

Bitdefender, ha detectado que durante los últimos tres años se han estado robando datos y criptomonedas de las billeteras de Monero mediante la instalación de un potente malware a través de los cracks de diversas aplicaciones, entre las que aparecen Microsoft Office y Adobe Photoshop CC. 

Según Bogdan Botezatu, director de Investigación e Informes de Amenzas en Bitdefender, “los cracks existen desde la aparición del software comercial. Son pequeñas aplicaciones, fáciles de usar, que están disponibles en sitios web especializados. Su instalación permite a los usuarios eliminar o desactivar algunas funciones de las aplicaciones comerciales con el objetivo de poder utilizarlas sin tener que pagar por ellas. Esta actividad, además de implicaciones legales por el uso de software sin autorización del propietario, presenta también graves riesgos de seguridad”.

El origen de este anuncio está en el descubrimiento reciente por parte de los analistas de Bitdefender de una serie de ataques que aprovechan los cracks de herramientas ofimáticas y de edición de imágenes para instalar un malware de puerta trasera que consigue comprometer PCs, robar carteras de criptomonedas y exfiltrar datos a través de la red TOR. En esta investigación llevada a cabo a nivel global, España aparece como el octavo país más afectado por esta práctica, acaparando un 3,2% de las víctimas totales. Los países más perjudicados son EE.UU. (11,9%) e India (11,6%).

Más concretamente, en esta investigación se demuestra cómo:

  • Se instala un malware de puerta trasera mediante el que el ciberdelincuente consigue el control total del dispositivo, por lo que puede robar contraseñas, archivos locales, PINs o cualquier otra credencial.
  • Es posible robar billeteras de Monero. Si el atacante identifica una cartera de Monero almacenada en el dispositivo, podrá robarla, junto con todas sus criptomonedas.
  • Los perfiles del navegador Firefox pueden ser pirateados, lo que permite hacerse con contraseñas de inicio de sesión almacenadas, historial de navegación, marcadores y cookies de sesión. Con respecto a estas últimas, Bitdefender recuerda que a través de las cookies de sesión es posible acceder a distintos servicios sin necesidad de contraseñas o de autenticaciones de doble factor (2FA).
  • Este tipo de ataque está activo desde la segunda mitad de 2018.

Los investigadores de Bitdefender explican que una vez ejecutado, el crack suelta una instancia de ncat.exe (una herramienta legítima para enviar datos sin procesar a través de la red), así como un proxy TOR. Además, se coloca también en el disco un archivo batch que contiene la línea de comandos para el componente Ncat y que recorre los puertos 8000 a 9000 sobre un dominio .onion. Estas herramientas trabajan juntas para crear una puerta trasera que 

se comunica con el centro de comando y control a través de TOR. El crack crea mecanismos de persistencia para el archivo proxy TOR y el binario Ncat en la máquina con un servicio y una tarea programada que se ejecuta cada 45 minutos, respectivamente. La investigación llevada a cabo por Bitdefender revela que, con toda probabilidad, no se envían solicitudes a las víctimas de forma automatizada, sino que la puerta trasera es utilizada de forma interactiva por un operador humano. Algunas de las acciones que se observan son:

  • Exfiltración de archivos. Ncat puede recibir archivos locales para enviarlos a través de TOR a los centros de comando y control.
  • Ejecución del cliente BitTorrent. Es probable que los atacantes utilicen clientes BitTorrent para exfiltrar datos.
  • Apagado del firewall en preparación para la exfiltración de datos.
  • Robo de los datos del perfil del navegador Firefox (historial, credenciales y cookies de sesión). Antes de la exfiltración, los atacantes archivan la carpeta del perfil con 7zip para generar un archivo que contenga todo.
  • Robo de billeteras Monero a través del cliente CLI legítimo ‘monero-wallet-cli.exe’.

Esta lista de acciones no es exhaustiva, ya que los atacantes consiguen un control total del sistema y pueden adaptar las campañas en función de sus intereses puntuales.

Distribución geográfica

País Víctimas (%)
Estados Unidos 11.89%
India 11.66%
Grecia 6.99%
Canadá 6.76%
Alemania 4.43%
Reino Unido 4.20%
Italia 3.73%
España 3.26%
México 2.80%
Polonia 2.80%
Sierra Leona 2.33%
Filipinas 2.10%
Francia 2.10%

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

GoDaddy recomienda que las pequeñas empresas instalen certificados SSL en sus páginas web
Actualidad
7 compartido1,323 visualizaciones
Actualidad
7 compartido1,323 visualizaciones

GoDaddy recomienda que las pequeñas empresas instalen certificados SSL en sus páginas web

Aina Pou Rodríguez - 4 marzo, 2020

 3 de cada 10 pequeñas empresas tuvieron que informar a sus clientes de la brecha de seguridad, poniendo en peligro…

5 ciberamenazas de las Smart TV que desconocías
Actualidad
12 compartido1,396 visualizaciones
Actualidad
12 compartido1,396 visualizaciones

5 ciberamenazas de las Smart TV que desconocías

Vicente Ramírez - 23 julio, 2019

Check Point señala la falta de seguridad y protección, el robo de datos y el uso de los recursos tecnológicos…

La extorsión sin ataque y las fake news, entre las nuevas tendencias de los ciberdelincuentes
Actualidad
4 compartido1,009 visualizaciones
Actualidad
4 compartido1,009 visualizaciones

La extorsión sin ataque y las fake news, entre las nuevas tendencias de los ciberdelincuentes

Alicia Burrueco - 15 febrero, 2021

S21sec ha publicado su informe semestral de referencia, Threat Landscape Report, en el que analiza la evolución del cibercrimen a…

Un comentario

  1. Pingback: REPORTE DE CIBERSEGURIDAD SEMANAL  (Del 19/04/2021 al 23/04/2021) – 33 sur

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.