Una vez infiltrado en el dispositivo el código malicioso roba las criptomonedas al reemplazar la dirección original por una falsa mediante una simple manipulación del texto en el portapapeles.
Criptomonedas populares como Bitcoin, Ethereum, Zcash, Dash, Monero entre otras, son el objetivo de estos delincuentes que ya han logrado obtener casi 140.000 dólares, según los datos de la investigación. Además, los expertos encontraron un nuevo troyano, diseñado para sacar provecho de Monero.
El nuevo troyano descubierto por Kaspersky Lab, denominado CryptoShuffler, fue diseñado para cambiar en el portapapeles del dispositivo infectado las direcciones de las billeteras de las criptomonedas del usuario (un recurso de software utilizado comunmente para el almacenamiento transitorio de datos). Estos ataques que buscan secuestrar portapapeles se conocen desde hace años, redirigen a los usuarios a sitios web maliciosos y tienen como objetivo los sistemas de pagos en línea. Sin embargo, son raros los casos que impliquen una dirección de host de criptomoneda.
En la mayoría de las operaciones con criptomonedas, el usuario que desea hacer una transferencia a otro necesita conocer la identificación de la billetera del destinatario, un número único de varios dígitos. CryptoShuffler explota la necesidad del sistema de funcionar con estos números.
Una vez inicializado, el troyano comienza a supervisar el portapapeles del dispositivo utilizado por el usuario para realizar un pago. La transacción implica copiar los números de las billeteras y pegarlas en la línea de “dirección de destino” del software que se utiliza para llevarla a cabo. En ese momento el troyano sustituye la “dirección billetera del usuario destino” por una del creador del malware, lo que significa que cuando el usuario pega la identificación de la cartera en la línea de dirección de destino, no es la dirección a la que originalmente intentaba enviar el dinero. Como resultado, la víctima transfiere su dinero directamente a los delincuentes, a menos que un usuario atento detecte ese reemplazo repentino.
Esto último generalmente no sucede, ya que los números de varios dígitos y las direcciones de las billeteras en blockchain suelen ser muy difíciles de recordar. Por lo tanto, es difícil definir características distintivas en la línea de transacción, incluso si está directamente frente a los ojos del usuario.
La sustitución del destino en el portapapeles ocurre instantáneamente, gracias a la simplicidad de buscar direcciones de billetera: la mayoría de las billeteras de criptomonedas tienen una posición constante en la línea de transacción y siempre utilizan una cierta cantidad de caracteres. Por lo tanto, los intrusos pueden crear fácilmente códigos regulares para reemplazarlos. Basado en la investigación, CryptoShuffler trabaja con una amplia gama de las criptomonedas más populares.
Hasta ahora, según las observaciones de los investigadores de Kaspersky Lab, los delincuentes detrás del troyano han tenido éxito en ataques contra billeteras Bitcoin: pudieron robar 23 BTC, lo que equivale a casi US$140.000. Los montos totales en otras carteras varían desde unos pocos dólares hasta varios miles de dólares.