El nuevo Masad Stealer y Clippper apuntan a los inversores en criptomonedas

Masad Stealer and Clipper

Decir que los inversores en criptomonedas han estado en un viaje salvaje en los últimos años sería un eufemismo. Lo que alguna vez fue aclamado como el dinero del futuro ha demostrado ser bastante inestable, y la volatilidad del mercado ha alejado a muchas personas del concepto de poseer dinero digital. Sin embargo, el comercio aún continúa, y hay bastantes ciberdelincuentes dispuestos a obtener una parte de la acción también. Los creadores de Masad Stealer y Clipper, por ejemplo, han ideado algunas formas interesantes de (entre otras cosas) robar monedas digitales de los usuarios desprevenidos.

Los investigadores de Juniper Threat Labs fueron los primeros en analizar y comentar sobre el malware la semana pasada . No dijeron cuándo vieron a Masad por primera vez, pero sí notaron que, en total, han visto más de 1,000 muestras utilizadas en aproximadamente 340 campañas separadas.

Masad: un poderoso malware de robo de información que cualquiera puede comprar

Por supuesto, no todas estas campañas están dirigidas por el mismo grupo de delincuentes. Masad es en realidad un malware listo para usar que quiere ser ciberdelincuente con algunas monedas en sus bolsillos y puede comprarlo. Incluso hay una versión gratuita, aunque según los expertos, viene con una funcionalidad limitada. La variante completa de campanas y silbatos es bastante poderosa, cuesta $ 85 y los clientes potenciales pueden obtenerla a través de un grupo de Telegram que, cuando los expertos de Juniper lo verificaron, tenía poco más de 300 usuarios activos.

¿Cómo funciona Masad?

El mismo chat grupal también se usa para soporte técnico, y el hecho de que los delincuentes eligieron esta aplicación particular para comunicarse con sus clientes probablemente no debería ser tan sorprendente. El malware en sí usa el servicio de chat encriptado como un canal de Comando y Control (C&C), lo que significa que es menos probable que sea detectado porque más de 200 millones de personas usan el protocolo de Telegram para fines completamente legítimos.

Dependiendo de la campaña, los usuarios pueden encontrar a Masad como un archivo independiente o junto con otras aplicaciones. Los expertos lo han visto tratando de hacerse pasar por herramientas de optimización del sistema como CCleaner, utilidades integradas de Windows, así como programas de craqueo para videojuegos y software de pago.

Después de la ejecución, Masad se deja caer en la carpeta% AppData% y establece persistencia con la ayuda de una tarea programada que la ejecuta una vez cada sesenta segundos. Entonces, comienza la operación de recopilación de información.

Cuando los investigadores ejecutaron a Masad en su caja de arena, el malware no logró robar tanto. Algunos datos del sistema se guardaron en un archivo TXT, las cookies del navegador y los archivos del escritorio se organizaron en dos carpetas separadas, y todo esto, junto con una captura de pantalla de lo que la víctima estaba viendo, se colocó automáticamente en un archivo 7Z y se preparó para ser enviado a un bot de Telegram controlado por los operadores.

Sin embargo, cuando examinaron el código del malware, los expertos vieron que Masad es capaz de robar mucho más. El malware puede recopilar y filtrar cualquier cosa, desde archivos de Steam, a través de todo tipo de billeteras de criptomonedas, hasta contraseñas y tarjetas de crédito guardadas con navegadores web . Monetizar todos esos datos podría ser bastante lucrativo, pero solo para estar seguros, los creadores de Masad han agregado otro truco que puede ayudarlos a obtener aún más criptomonedas.

El malware está diseñado para monitorear constantemente el portapapeles del dispositivo infectado.. Si cree que la víctima ha copiado una dirección de criptomoneda, Masad la intercambia automáticamente con una dirección que los autores del malware han codificado previamente en el malware. De esa manera, si el usuario no detecta la dirección diferente cuando la pega en el campo deseado, la criptomoneda se redirige a una billetera controlada por los delincuentes.

Es una táctica interesante que parece ser bastante efectiva. Los investigadores de Juniper examinaron una billetera utilizada durante una de las campañas y vieron que al 15 de septiembre ya había recibido más de $ 9,000, aunque señalaron que no hay forma de saber si el monto total es el resultado de la campaña de Masad.

Cualquiera sea el caso, Masad es claramente una amenaza formidable no solo para los inversores en criptomonedas, sino para todos. Como siempre, protegerse contra él implica descargar solo software legítimo de fuentes legítimas y mantener un sistema que esté bien protegido y completamente actualizado.

September 30, 2019

Deja una respuesta

¡IMPORTANTE! Para poder continuar, debe resolver las siguientes matemáticas simples.
Please leave these two fields as is:
¿Qué es 7 + 3?