Descubierto un nuevo malware que roba monedas virtuales Litecoin

El siguiente es un artículo traducido y adaptado de nuestro compañero Robert Lipovsky, analista de malware en ESET.

Bitcoin no es la única divisa criptográfica que se ve afectada por malware ahora que se ha descubierto un nuevo troyano diseñado para robar Litecoins. Actualmente, existen numerosas familias de malware que realizan minería de Bitcoins, roban directamente el contenido de las carteras de Bitcoins de las víctimas o realizan ambas acciones.

Una de las familias de malware más recientes asociadas con las divisas virtuales es Skynet, detectada por ESET como Win32/Scoinet. Probablemente, la característica menos convencional de este troyano es que sus servidores de mando y control de botnets se ejecutan como servicios ocultos de Tor con la doble finalidad de conseguir el anonimato y frustrando los esfuerzos de desactivar estas botnets o interceptar las comunicaciones que se producen entre los ordenadores infectados y el botmaster. Win32/Scoinet también emplea el troyano bancario Zeus para recopilar  credenciales de sitios online así como también utiliza el software de código abierto CGMiner para generar Bitcoins.

La telemetría de ESET Livegrid nos indica que la botnet Skynet se encuentra bastante activa y también hemos observado, monitorizando la botnet, que también ha estado realizando ataques DDoS contra webs de cambio de Bitcoins. La empresa Rapid7 arrojó más luz sobre este asunto en un artículo en su blog. Nuestras estadísticas de LiveGrid muestran un incremento en la actividad a finales de marzo de este año. Esto tiene sentido si lo relacionamos con las oleadas de ataques DDoS que se produjeron en abril. Según nuestra información, el número más elevado de detecciones de Win32/Scoinet se produjeron en los Países Bajos.

Gráficos 1 y 2 – Estadística de detecciones de ESET LiveGrid para Win32/Scoinet.A

Añadamos a todo esto las noticias recientes sobre ESEA, un popular servicio de juego que estuvo sirviendo malware a jugadores y veremos obvio que las divisas digitales son actualmente una tendencia, tanto entre los cibercriminales como entre los jugadores.

Recientemente nos hemos topado con un nuevo troyano que intenta robar dinero virtual almacenado en la moneda digital alternativa Litecoin. Este troyano, que ESET detecta como MSIL/PSW.LiteCoin.A, es extremadamente poco sofisticado. Todo lo que hace es intentar enviar el archivo wallet.dat del usuario a un servidor FTP bajo el control del atacante. El código del troyano, escrito en C#, se muestra descompilado de la siguiente forma:

Código descompilado de MSIL/PSW.LiteCoin.A

El proveedor web ya ha sido alertado de la situación y al tratar de conectarnos al dominio del atacante se genera la siguiente alerta:

De acuerdo con nuestra telemetría Win32/PSW.LiteCoin.A no se encuentra muy extendido de momento, pero Litecoin se puede convertir en un objetivo para los atacantes según crezca su popularidad y base de usuarios. Esta joven divisa criptográfica P2P está basada en Bitcoin y ofrece muchas mejoras. Curiosamente, la mayor web de cambio de Bitcoin, Mt.Gox, anunció el pasado abril sus planes de empezar a negociar con Litecoins, pero esto se detuvo debido a los ataques DDoS contra su servicio, ataques que fueron lanzados por la botnet Skynet, tal y como mencionábamos anteriormente.

Lo que está claro es que los ciberdelincuentes acudirán allá donde se pueda obtener beneficio, independientemente de si se trata de traficar con datos personales, tarjetas de crédito o monedas virtuales.

Josep Albors