{"id":12644,"date":"2023-08-08T16:26:54","date_gmt":"2023-08-08T21:26:54","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=12644"},"modified":"2023-08-08T16:27:00","modified_gmt":"2023-08-08T21:27:00","slug":"doublefinger-malware-sofisticado-apunta-a-las-criptobilleteras-en-america-latina","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/doublefinger-malware-sofisticado-apunta-a-las-criptobilleteras-en-america-latina\/","title":{"rendered":"DoubleFinger: malware sofisticado apunta a las criptobilleteras en Am\u00e9rica Latina"},"content":{"rendered":"\n<p class=\"has-text-align-center\"><em>Investigaci\u00f3n de Kaspersky revela que el malware logra robar criptodivisas hasta de billeteras f\u00edsicas o de hardware, las cuales son m\u00e1s seguras que los criptomonederos comunes<\/em><\/p>\n\n\n\n<p>Kaspersky ha descubierto una nueva y sofisticada campa\u00f1a dirigida a las billeteras de criptomonedas digitales. La artima\u00f1a est\u00e1 circulando activamente en Europa, Estados Unidos y Am\u00e9rica Latina. El ataque opera en cinco etapas y logra robar hasta las criptomonedas almacenadas en una billetera de hardware, que en cierto modo es una billetera f\u00edsica o una billetera desconectada de Internet, y que son m\u00e1s seguras que las billeteras digitales comunes. La estafa utiliza el <em>loader<\/em> DoubleFinger para descargar archivos maliciosos en el sistema infectado, el programa de robo de criptomonedas GreetingGhoul, y el troyano de acceso remoto (RAT) Remcos para controlar el dispositivo comprometido. El an\u00e1lisis de los expertos de Kaspersky destaca el alto nivel t\u00e9cnico del ataque y su naturaleza de m\u00faltiples etapas, que lo asemeja a un&nbsp;<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/apt-advanced-persistent-threats\/\">ataque de amenaza persistente avanzada (APT)<\/a>.<\/p>\n\n\n\n<p>La investigaci\u00f3n de Kaspersky muestra que la infecci\u00f3n comienza cuando la v\u00edctima abre un archivo PIF malicioso, incluido como adjunto en un correo electr\u00f3nico, que infecta el computador con DoubleFinger. Este<em> loader<\/em> se encarga del proceso de infecci\u00f3n, el cual se divide en <a href=\"https:\/\/securelist.com\/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer\/109982\/\">cinco etapas<\/a> para eludir detecci\u00f3n por los productos de seguridad.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>En las dos primeras etapas se descarga c\u00f3digo no malicioso: primero, dentro de una imagen PNG leg\u00edtima y, despu\u00e9s, en un archivo leg\u00edtimo perteneciente a Java. Independientemente, estos c\u00f3digos no contienen acci\u00f3n maliciosa.<\/li>\n\n\n\n<li>En la tercera etapa se utiliza la t\u00e9cnica de <a href=\"https:\/\/latam.kaspersky.com\/resource-center\/definitions\/what-is-steganography\">esteganograf\u00eda,<\/a> que es la lectura de c\u00f3digos en im\u00e1genes leg\u00edtimas, para descifrar un c\u00f3digo. En este paso, se agregan los c\u00f3digos descargados en los pasos anteriores para completar la infecci\u00f3n.<\/li>\n\n\n\n<li>En la cuarta etapa, el malware ejecuta un proceso leg\u00edtimo en la memoria de la computadora (t\u00e9cnica \u2018sin archivos\u2019). En este punto, el malware hace una copia del proceso y agrega el c\u00f3digo malicioso compilado en el paso 3. De esta forma, ambos procesos quedan guardados en la memoria: el limpio y el malicioso.<\/li>\n\n\n\n<li>En el \u00faltimo paso se descarga otra imagen, pero este archivo es el programa ladr\u00f3n GreetingGhoul. Una vez en el sistema, este archivo .PNG cambia de nombre a la extensi\u00f3n .exe (un archivo ejecutable). De esta manera finaliza la infecci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<p>El programa ladr\u00f3n GreetingGhoul es lo m\u00e1s destacado de estas estafas, ya que tiene dos componentes. El primero sirve para detectar si hay aplicaciones de billetera digital de criptomonedas instaladas en la m\u00e1quina infectada. Una vez que se detectan los objetivos, el segundo m\u00f3dulo crea pantallas que se superpondr\u00e1n en la ventana de la aplicaci\u00f3n de la billetera para robar las credenciales, las frases de recuperaci\u00f3n y las claves de los activos digitales.<\/p>\n\n\n\n<p>Adem\u00e1s del ladr\u00f3n GreetingGhoul, Kaspersky tambi\u00e9n encontr\u00f3 muestras de DoubleFinger que descargan el Remcos RAT, un programa comercial de acceso remoto (RAT) que los ciberdelincuentes suelen utilizar en ataques dirigidos contra empresas y organizaciones. En este caso, el grupo utiliza esta caracter\u00edstica para eludir las aplicaciones de billetera digital que solo funcionan en computadoras previamente autorizadas, ya que los atacantes realizan acceso remoto a estos dispositivos autorizados y cometen fraude.<\/p>\n\n\n\n<p><em>\u201cLa infecci\u00f3n por etapas para evadir la detecci\u00f3n es cada vez m\u00e1s com\u00fan en el malware ladr\u00f3n (stealers). En mi opini\u00f3n, lo que m\u00e1s llama la atenci\u00f3n de esta nueva estafa es la posibilidad de robar criptomonedas en monederos \u201cf\u00edsicos\u201d, tales como cold wallets o de hardware, que son opciones mucho m\u00e1s seguras que los monederos digitales comunes. Otra cosa que deja en claro esta estafa es el gran inter\u00e9s de los delincuentes en los activos digitales, por lo que quien quiera invertir en esta modalidad debe estar alerta, implementar medidas de seguridad m\u00e1s fuertes y mantenerse informado sobre nuevas estafas y c\u00f3mo evitarlas, ya que fraudes sofisticados como estos seguir\u00e1n apareciendo\u201d, dice <strong>Fabio Assolini, director del Equipo de Investigaci\u00f3n y An\u00e1lisis Global para Am\u00e9rica Latina en Kaspersky.<\/strong><\/em><\/p>\n\n\n\n<p>Para mantener sus criptoactivos a salvo, Kaspersky recomienda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Compre productos oficiales:<\/strong> solo compre billeteras de hardware de fuentes oficiales y confiables, como el sitio web del fabricante o revendedores autorizados. Y nunca debe completar su semilla de recuperaci\u00f3n en la computadora. El fabricante de la billetera de hardware nunca pedir\u00e1 esto.<\/li>\n\n\n\n<li><strong>Compruebe si hay se\u00f1ales de manipulaci\u00f3n:<\/strong> antes de usar una nueva cartera de hardware, compruebe si hay signos de manipulaci\u00f3n, como ara\u00f1azos, pegamento o componentes que no coinciden.<\/li>\n\n\n\n<li><strong>Verifique el firmware:<\/strong> siempre verifique que el firmware en la billetera de hardware sea leg\u00edtimo y est\u00e9 actualizado. Esto se puede hacer consultando el sitio web del fabricante para obtener la \u00faltima versi\u00f3n.<\/li>\n\n\n\n<li><strong>Proteja su frase inicial:<\/strong> al configurar la billetera de hardware, almacene de forma segura su frase inicial. Una soluci\u00f3n de seguridad confiable como <a href=\"https:\/\/latam.kaspersky.com\/premium\">Kaspersky Premium<\/a> proteger\u00e1 sus activos criptogr\u00e1ficos almacenados en su tel\u00e9fono m\u00f3vil o PC.<\/li>\n\n\n\n<li><strong>Use una contrase\u00f1a segura<\/strong>: si su billetera de hardware permite una contrase\u00f1a, use una combinaci\u00f3n segura y \u00fanica. Evite usar contrase\u00f1as que sean f\u00e1ciles de adivinar o reutilizar contrase\u00f1as de otras cuentas.<\/li>\n<\/ul>\n\n\n\n<p>Para aprender m\u00e1s sobre DoubleFinger, visite <a href=\"https:\/\/securelist.lat\/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer\/97965\/\">Securelist<\/a>.<\/p>\n\n\n\n<p><strong>Acerca de Kaspersky<\/strong><\/p>\n\n\n\n<p>Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras cr\u00edticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compa\u00f1\u00eda incluye una protecci\u00f3n de <em>endpoints<\/em> l\u00edder y una serie de soluciones y servicios de seguridad especializados, as\u00ed como soluciones de ciber inmunidad para combatir las amenazas digitales m\u00e1s avanzadas y en evoluci\u00f3n. M\u00e1s de 400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky y ayudamos a 220,000 clientes corporativos a proteger lo que m\u00e1s valoran. Obtenga m\u00e1s informaci\u00f3n en <a href=\"http:\/\/latam.kaspersky.com\/\">https:\/\/latam.kaspersky.com<\/a><\/p>\n\n\n\n<p>&#8211;<\/p>\n\n\n\n<p>Syspertec sas<\/p>\n\n\n\n<p>Agencia de prensa y relaciones p\u00fablicas<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Investigaci\u00f3n de Kaspersky revela que el malware logra robar criptodivisas hasta de billeteras f\u00edsicas o de hardware, las cuales son m\u00e1s seguras que los criptomonederos comunes Kaspersky ha descubierto una nueva y sofisticada campa\u00f1a dirigida a las billeteras de criptomonedas digitales. La artima\u00f1a est\u00e1 circulando activamente en Europa, Estados Unidos y Am\u00e9rica Latina. El ataque [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":12646,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[243],"tags":[176,195,119],"class_list":["post-12644","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kaspersky","tag-kaspersky","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2023\/08\/Kaspersky_Doublefinger.jpg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/12644","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=12644"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/12644\/revisions"}],"predecessor-version":[{"id":12647,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/12644\/revisions\/12647"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/12646"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=12644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=12644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=12644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}