Nueva estafa de Bitcoin conduce a troyanos, ransomware y robo de información
Una serie de sitios web están promocionando una estafa que promete $5 a $30 de bitcoins gratuitos al día simplemente ejecutando un programa llamado Bitcoin Collector.
En realidad, este programa no hace más que instalar ransomware o troyanos que roban contraseñas en la computadora de la víctima.
Esta estafa fue descubierta por primera vez por un investigador de malware con el alias Frost que publicó sobre esto en Twitter y lo compartió con BleepingComputer.
La estafa se promueve a través de sitios que prometen ganarte Ethereum al referir a otras personas a su sitio. Las preguntas frecuentes indican que al referir 1,000 visitas usando tu enlace de referencia, ganarás 3 Ethereum, lo que equivale a aproximadamente $750 USD.
Las afirmaciones de ganar Ethereum gratis no son ni siquiera la verdadera estafa. Como puedes ver en la imagen de arriba, anuncian que puedes ganar $15-45 por día en Bitcoin “de forma gratuita y automática”.
Si haces clic en este cuadro, se te llevará a otra página que promueve un programa llamado “Bitcoin Collector” que, cuando lo descargues y ejecutes, supuestamente generará Bitcoin gratis para ti.
Incluso proporciona un enlace VirusTotal para mostrar que es completamente seguro, pero a pesar de que este programa no tiene detecciones, sigue siendo un troyano que normalmente ejecutaría un payload malicioso si el payload estuviera presente.
Cuando descargues el archivo zip y lo extraigas, generará numerosos archivos, incluido un ejecutable llamado BotCollector.exe.
Cómo funciona
Cuando ejecutes BotCollector.exe, este lanzará un programa llamado “Freebitco.in – Bot” que no parece hacer mucho en realidad, sin embargo, este es un troyano que pretende ser un generador de bitcoin, pero simplemente lanza un payload de malware.
Cuando BleepingComputer analizó el troyano, se demostró claramente que hacer clic en el botón de Inicio provocaría que el falso programa “Bot” activará el payload. Lo hace copiando un archivo en geobaze\patch\logo.png a logo.exe y ejecutándolo como se muestra a continuación.
Dependiendo de la campaña en ejecución, este payload es un ransomware o un troyano que roba contraseñas. BleepingComputer ha ejecutado ambas campañas y las describe brevemente a continuación.
El aspecto interesante de esta estafa de criptomonedas es que los atacantes prometen Ethereum gratuitos al recomendar a los usuarios el sitio, de manera efectiva obtienen una promoción gratuita para su troyano “BotCollector” y, por lo tanto, más oportunidades para infectar a los visitantes.
Originalmente traía un ransomware
Cuando Frost descubrió esta campaña por primera vez, el payload era un ransomware HiddenTear llamado “Marozka Tear Ransomware”.
Cuando se ejecuta, el ransomware cifrará tus archivos y agregará la extensión .Crypted y creará notas de rescate llamadas HOW TO DECRYPT FILES.txt como se muestra a continuación.
El programa y las notas le dicen al usuario que se ponga en contacto con el atacante a través de [email protected] para recibir instrucciones de pago.
La nota de rescate dice:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address [email protected]
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!Puedes ver el código fuente para el proceso de cifrado a continuación.
Como esta es solo una variante de HiddenTear, los usuarios infectados pueden descifrar sus archivos de forma gratuita utilizando el descifrador HiddenTear.
Ahora trae un troyano que roba contraseñas
Esta estafa ahora ha cambiado su payload a un troyano de robo de información. Frost le ha dicho a BleepingComputer que esta es la infección llamada Baldr, que actualmente tiene detecciones de 32/70 en VirusTotal.
A continuación, puedes ver como el troyano se conecta a sus servidores de Comando y Control:
La infección de troyanos que roba contraseñas es la más grave de los dos payloads, ya que podría haber permitido a los atacantes robar las credenciales de inicio de sesión de los sitios que visitan los usuarios, tomar capturas de pantalla, recuperar el historial de su navegador, robar archivos de su computadora e incluso robar billeteras de criptomonedas.
Debido a esto, si esta estafa te afectó recientemente, debes cambiar todas tus contraseñas, especialmente las relacionadas con transacciones bancarias o financieras.
