Ransomware

Monederos de Criptomonedas Scam incluyen ransomware y más malware cuando se paga

Daniel

3 min read
Monederos de Criptomonedas Scam incluyen ransomware y más malware cuando se paga

Una nueva forma de ransomware intenta engañar a las víctimas para que la instalen con el atractivo de obtener rápidamente criptomonedas, antes de cifrar sus archivos y exigir a Monero la clave de descifrado.

"SpriteCoin" se anuncia en los foros como una nueva criptomoneda que es "segura de ser rentable" para los usuarios, cuando es cualquier cosa menos. Aquellos que caigan en la estafa -que probablemente fue diseñada para aprovechar la publicidad en torno a bitcoin y la cadena de bloques- encontrarán que su sistema Windows está infectado con ransomware.

Para colmo de males, si el usuario infectado paga el rescate de 0.3 Monero (alrededor de $ 100 en el momento de la redacción), reciben malware adicional con capacidades que certifican la recolección, el análisis de imágenes y la capacidad de activar la cámara web de la víctima.

Descubierto por investigadores de Fortinet, SpriteCoin se anuncia en foros y requiere un grado de ingeniería social para comprometer objetivos con éxito. Si bien muchas formas de ransomware se entregan a través de correos electrónicos de phishing, este formulario se entrega como una cartera de criptomonedas que, según se le dice al usuario, contiene SpriteCoin.

Es uno de los trucos ciberdelincuentes más antiguos del libro: atraer a las víctimas con la perspectiva de obtener un plan rápido y rico.

Una vez que el usuario ejecuta el archivo .exe, se le pide que ingrese una contraseña de billetera, antes de que le digan que el archivo está descargando la cadena de bloques. En realidad, esto no está sucediendo en absoluto: el ransomware está ejecutando la rutina de cifrado, agregando un sufijo'encrypted 'a los archivos afectados.

Las tiendas de credenciales de Chrome y Firefox del usuario son allanadas durante este proceso y enviadas a un sitio web remoto, probablemente poniendo contraseñas en las manos de los atacantes.

Una vez que se completa el proceso, a la víctima se le presenta una nota de rescate, exigiendo un pago de 0.3 Monero para recuperar sus archivos. La nota contiene enlaces a información sobre qué es Monero, cómo comprarlo y cómo pagar, así como una advertencia de que si se elimina el programa, los archivos permanecerán descifrados para siempre.

spritecoin-ransomware

La cifra del rescate es baja en comparación con muchas formas de ransomware, que ahora a menudo exigen pagos de cientos o miles de dólares. Podría ser que los atacantes pidan una demanda de rescate relativamente baja porque SpriteCoin es una prueba para nuevos mecanismos de entrega de ransomware.

"En este caso, parece que la intención no era solo dinero. Lo que inferimos es que la intención no es la cantidad de dinero, sino posiblemente una prueba de concepto o probar nuevos mecanismos de entrega, y ver cuántas personas caer en la trampa ", dijo a ZDNet Tony Giandomenico, investigador principal de seguridad de Fortinet FortiGuard Labs.

"Esto es muy similar a cuando los atacantes probarían para ver cuán efectivo o rápido se propagaría un gusano antes de lanzarlo realmente. Este podría ser el mismo concepto".

Quienes están detrás del SpriteCoin ransomware intentan ofrecer a la víctima la seguridad de que el pago dará como resultado la devolución de sus archivos porque "si no lo hiciera, podría decirle a otros que no paguen", y agregó: "confíen en nosotros, devolverán sus archivos" .

Sin embargo, parece poco probable que las víctimas recuperen sus documentos. Si deciden pagar por la clave de descifrado, lo que realmente reciben es malware adicional con la capacidad de activar cámaras web y analizar certificados.

"La nota realmente está alentando a la víctima a 'iniciar el pago del rescate' para que se elimine la carga secundaria maliciosa", dijo Giandomenico.

Si bien los investigadores no han podido analizar completamente este malware, es poco probable que padecer compromisos adicionales sea cualquier cosa menos perjudicial para la víctima.

SpriteCoin no es la primera forma de ransomware que solicita el pago en Monero. La popularidad de bitcoin, y el aumento asociado en las tarifas de transacción y los retrasos en la recepción de pagos, está causando problemas a los ciberdelincuentes que la utilizan para cobrar las demandas de rescate.

Como resultado, algunos distribuidores de ransomware están cambiando su modelo de negocio de Bitcoin y otras criptomonedas como Monero.