Los ciberdelincuentes apuntan a los criptoinversionistas con nuevo malware: esto es lo que necesita saber

cryptoshitcompra.com/wp-content/uploads/2023/02/Los-ciberdelincuentes-apuntan-a-los-criptoinversionistas-con-nuevo-malware-esto.jpg» width=»» class=»content-img» alt=»»/>

Los piratas informáticos y los ciberdelincuentes se han dirigido a los criptoinversores con dos nuevas amenazas de malware que están rastreando Internet en busca de inversores desprevenidos para robar sus fondos.

Según un reciente relación por el software antimalware Malwarebytes, se han implementado dos nuevas amenazas de ciberseguridad, que incluyen el ransomware MortalKombat recientemente descubierto y una variante GO del malware Laplas Clipper, en campañas destinadas a robar criptomonedas de las víctimas.

Las víctimas del nuevo ataque de phishing se encuentran predominantemente en los Estados Unidos, con un porcentaje menor de víctimas en el Reino Unido, Turquía y Filipinas.

El equipo de investigación de inteligencia de amenazas de la compañía, Cisco Talos, dijo que observó al criminal escaneando Internet en busca de objetivos potenciales con un puerto 3389 de Protocolo de escritorio remoto (RDP) expuesto, un protocolo patentado que proporciona al usuario una interfaz gráfica para conectarse a otra computadora a través de un conexión de red.

La investigación dijo que la campaña comienza con un correo electrónico de phishing «e inicia una cadena de ataque de varias etapas en la que el actor entrega malware o ransomware, luego elimina la evidencia de archivos maliciosos, cubre sus huellas y desafía el análisis».

El correo electrónico de phishing viene con un archivo ZIP malicioso que contiene un script del cargador BAT, que descarga otro archivo ZIP malicioso cuando la víctima lo abre. El malware también infla el dispositivo de la víctima y ejecuta la carga útil, que es la variante GO del malware Laplas Clipper o el ransomware MortalKombat.

«La secuencia de comandos del cargador ejecutará la carga útil soltada como un proceso en la computadora de la víctima, luego eliminará los archivos maliciosos descargados y soltados para limpiar los marcadores de infección», explica el informe.

Talos señaló que un vector de ataque común para los delincuentes ha sido un correo electrónico de phishing que se hace pasar por CoinPayments, una pasarela de pago de criptomoneda global legítima.

Para que los correos electrónicos sean aún más legítimos, tienen un remitente falsificado, «noreply[at]CoinPagos[.]net» y el asunto del correo electrónico «[CoinPayments[.]neto]Pago vencido.

En esta ocasión específica, se adjunta un archivo ZIP malicioso con un nombre de archivo similar al ID de transacción mencionado en el cuerpo del correo electrónico, que insta a la víctima a descomprimir el archivo adjunto malicioso para ver su contenido, que es un cargador BAT malicioso.

Las amenazas de ransomware aumentan a medida que caen los ingresos

Los ataques de ransomware y ciberseguridad siguen aumentando. Sin embargo, las víctimas son cada vez más reacias a pagar a los atacantes por sus demandas, según un informe reciente de Chainalysis, que reveló que los ingresos por ransomware para los atacantes se desplomaron un 40 % el año pasado.

Vale la pena señalar que los grupos de piratería de Corea del Norte representan una gran parte de las actividades cibernéticas ilícitas. Recientemente, las agencias de inteligencia de Corea del Sur y EE. UU. advirtieron que los piratas informáticos con sede en Pyongyang están tratando de atacar a las «principales instituciones internacionales» con ataques de ransomware.

En diciembre de 2022, Kaspersky también reveló que BlueNoroff, un subgrupo del grupo de piratas informáticos patrocinado por el estado de Corea del Norte, Lazarus, se hace pasar por capitalistas de riesgo que buscan invertir en nuevas empresas de criptomonedas con un nuevo método de phishing.