Peligroso malware secuestra billeteras de criptomonedas | ¿Cómo se llama?
En estos momentos, los usuarios de ordenadores Apple deben estar al tanto de un nuevo malware dirigido a billeteras de criptomonedas, llamado Realst. Dicho malware se disfraza como uno de los muchos juegos de Blockchain falsos, que luego infecta los dispositivos con un código de robo de información, enviando los datos de la billetera electrónica a los actores maliciosos. A día de hoy, al menos 16 variantes del malware están circulando.
Un investigador de seguridad cibernética fue el primero en detectar, documentar y nombrar a Realst, mediante una publicación extensa en GitBook, que explica que los hackers maliciosos emplean las redes sociales para emitir códigos de acceso a las víctimas potenciales.
Las víctimas usan estos códigos para descargar WildWorld, Brawl Earth, Evolion, Olymp of Reptiles y otros juegos llamados “Blockchain”. Al llegar a los usuarios con códigos en lugar de ofrecer juegos falsos a gran escala, los atacantes pueden evitar el acceso a investigadores de seguridad conocidos que expondrían el malware escondido detrás de los juegos.
Una vez que la víctima ha descargado uno de los juegos falsos en su ordenador, el instalador infecta el dispositivo con malware. Si bien los investigadores y especialistas han visto a los actores maliciosos usar esta táctica para instalar malware conocidos como RedLine Stealer, Raccoon Stealer o AsyncRAT en los dispositivos que tienen instalado el Sistema Operativo Windows.
El malware Realst apunta específicamente a equipos con Sistema Operativo macOS, incluida la próxima versión de Sonoma. En lugar de instalar un juego real, el malware entrega un archivo “game.py”, el cual roba datos de Mozilla Firefox e “installer.py”, que extrae información de las bases de datos de llaveros de macOS que contienen las contraseñas, claves y certificados de los usuarios.
Si no quieres ser víctima de malware o cualquier virus informático que comprometa la información de tu empresa, TIC Defense cuenta con herramientas, productos y soluciones que protegen los sistemas de defensa de tu organización. Nuestros especialistas en ciberseguridad desarrollan servicios optimizados, los cuales se adaptan a las necesidades de tu compañía.
Una empresa autónoma de ciberseguridad, llamada SentinelOne, ha identificado, al menos, 16 variantes de Realst. Las diferencias clave de las variantes radican en sus conjuntos de llamadas API, lo que permite a SentinelOne dividirlas en cuatro categorías.
La familia A y la familia B, utilizan la suplantación de contraseñas, pero esta última es mejor para evadir la detección, debido a que corta las cadenas en elementos más pequeños. La familia C extrae datos directamente de la base de datos de llaveros del sistema operativo, mientras que la familia D abre la ventana de la Terminal y presiona al usuario víctima para que ingrese su contraseña.
Este último llega incluso a otorgarse privilegios administrativos e instalar “pycryptodome”, una biblioteca de criptografía, en el dispositivo. Todas las variantes se dirigen a los datos de Chrome, Opera, Firefox, Brave, Vivaldi y Telegram de las víctimas, pero no se ha demostrado que ninguna se dirija a Safari.
Una vez que el malware se ha apropiado de las credenciales, los datos de navegación y otra información de la víctima, los atacantes pueden violar las billeteras de criptomonedas de los usuarios y robar fondos relevantes.
Si bien SentinelOne inspeccionó 60 muestras, no está claro cuántos usuarios de macOS se vieron afectados por el malware. Se alienta a aquellos con computadoras Apple a mantenerse alerta cuando se encuentren con juegos de Blockchain, incluso aquellos con cuentas de Twitter “verificadas” y una presencia establecida en Discord.
