Los cibercriminales están utilizando tácticas cada vez más sofisticadas para distribuir malware, y uno de los ejemplos más recientes es CoinLurker, un malware diseñado para robar información relacionada con criptomonedas. Según un informe técnico de Nadav Lorber, investigador de Morphisec, CoinLurker es una amenaza de alto riesgo, especialmente debido a su capacidad para eludir las soluciones de seguridad más comunes mediante el uso de técnicas avanzadas de ofuscación y antianálisis. Este malware, desarrollado en Go, se esconde eficazmente dentro de las actividades legítimas del sistema, lo que lo hace difícil de detectar y eliminar.
Los Métodos de Distribución de CoinLurker
Una de las principales tácticas que utilizan los atacantes para propagar CoinLurker es el uso de alertas de actualización de software falsas. Estas alertas, que simulan notificaciones legítimas de actualización, emplean varios métodos engañosos para comprometer a los usuarios. Estos métodos incluyen notificaciones de actualizaciones falsas en sitios web de WordPress comprometidos, redireccionamientos maliciosos a través de publicidad, correos electrónicos de phishing con enlaces a páginas de actualización fraudulentas, y hasta enlaces compartidos por redes sociales y aplicaciones de mensajería. Sin importar el método utilizado, todos los mensajes de actualización tienen un factor común: utilizan Microsoft Edge WebView2 para ejecutar el malware.
La Complejidad de la Técnica Webview2
El uso de WebView2 es una de las innovaciones que hacen que CoinLurker sea especialmente difícil de detectar. WebView2, un componente preinstalado de Microsoft, permite que las aplicaciones web se ejecuten dentro de una interfaz de usuario nativa, y en este caso, se emplea para desencadenar la ejecución de la carga útil del malware. Según Lorber, los sandboxes de seguridad, que se utilizan para analizar el comportamiento de los programas, a menudo no tienen WebView2 o no pueden replicar adecuadamente las interacciones del usuario. Esto dificulta el análisis dinámico del malware y permite que CoinLurker eluda la detección automatizada de las herramientas de seguridad.
La Técnica EtherHiding: Inyección de Scripts para Descargar el Malware
Otra de las tácticas avanzadas utilizadas por CoinLurker es la técnica conocida como EtherHiding. Este método implica la inyección de scripts maliciosos en sitios web comprometidos para conectar con la infraestructura de Web3 y recuperar la carga útil final desde un repositorio de Bitbucket. Estos repositorios se hacen pasar por herramientas legítimas, como “UpdateMe.exe” o “SecurityPatch.exe”, que, en realidad, están diseñadas para instalar el malware. Para añadir una capa adicional de engaño, los ejecutables maliciosos están firmados con un certificado de validación extendida (EV) legítimo pero previamente robado, lo que engaña a las soluciones de seguridad y permite que el malware se instale sin problemas. Una vez descargado, el malware se inyecta en el proceso de Microsoft Edge, utilizando un “inyector multicapa” para completar la infección.
El Comportamiento del Malware y la Evitación de la Detección
Una vez que CoinLurker se ha infiltrado en el sistema, toma medidas adicionales para ocultar su presencia y evitar ser detectado. Utiliza una fuerte ofuscación para verificar si la máquina ya está comprometida y luego decodifica la carga útil directamente en la memoria durante el tiempo de ejecución. Además, el malware manipula la memoria del sistema y realiza verificaciones condicionales para oscurecer el camino de ejecución, lo que le permite eludir las barreras de seguridad que dependen del comportamiento del proceso para el filtrado de amenazas. Según Morphisec, este enfoque asegura que CoinLurker se mezcle perfectamente con las actividades legítimas del sistema, dificultando su detección por parte de las soluciones de seguridad.
El Objetivo de CoinLurker: Robar Información Relacionada con Criptomonedas
El principal objetivo de CoinLurker es robar información sensible relacionada con las criptomonedas. Una vez que se ejecuta en el sistema, el malware se comunica con un servidor remoto y comienza a escanear directorios específicos asociados con billeteras de criptomonedas, como Bitcoin, Ethereum, Ledger Live y Exodus. Además, también busca datos relacionados con plataformas como Telegram, Discord y FileZilla. Este escaneo exhaustivo subraya la versatilidad de CoinLurker, ya que está diseñado para atacar tanto billeteras convencionales como billeteras oscuras, lo que lo convierte en una amenaza significativa para cualquier usuario involucrado en el ecosistema de criptomonedas.
Campañas de Publicidad Maliciosa: Un Enfoque Global
CoinLurker no es la única amenaza que se está propagando a través de métodos de distribución engañosos. Desde al menos el 13 de noviembre de 2024, se ha observado que un actor de amenazas ha orquestado múltiples campañas de publicidad maliciosa que abusan de los anuncios de Google para atraer a profesionales del diseño gráfico. Estas campañas están utilizando señuelos relacionados con programas como FreeCAD, Rhinoceros 3D y Onshape. Los dominios utilizados en estas campañas de publicidad maliciosa están vinculados a direcciones IP dedicadas, lo que permite a los atacantes lanzar nuevas campañas de manera constante. Todos estos sitios web conducen a descargas maliciosas que, en muchos casos, terminan instalando CoinLurker en las máquinas de las víctimas.
El Surgimiento de Nuevas Amenazas: I2PRAT
Además de CoinLurker, otra amenaza reciente es el malware conocido como I2PRAT, que utiliza la red peer-to-peer I2P para establecer comunicaciones cifradas con un servidor de comando y control (C2). Esta amenaza también se propaga a través de correos electrónicos de phishing, donde un enlace lleva a una página de verificación CAPTCHA falsa. Al hacer clic en el enlace, los usuarios son engañados para ejecutar un comando de PowerShell malicioso que descarga y ejecuta el RAT (Remote Access Trojan). Aunque CoinLurker y I2PRAT operan de manera diferente, ambos malware tienen un objetivo común: robar información valiosa de las víctimas y, en el caso de CoinLurker, centrarse especialmente en el ecosistema de criptomonedas.
En fin la evolución de las técnicas de distribución de malware como CoinLurker resalta la creciente sofisticación de los ataques cibernéticos. Desde la explotación de herramientas legítimas como WebView2 hasta la inyección de scripts maliciosos a través de Web3, los atacantes están utilizando métodos avanzados para burlar la detección y robar información crítica. Los usuarios deben ser conscientes de estos riesgos y adoptar medidas de seguridad adecuadas para protegerse contra estas amenazas, especialmente aquellos involucrados en el mundo de las criptomonedas.
Fuente: The Hacker News