El software antimalware Malwarebytes ha destacado dos nuevas formas de programas informáticos maliciosos distribuidos por fuentes desconocidas que se dirigen activamente a los criptoinversores en un entorno de escritorio.

Desde diciembre de 2022, los dos archivos maliciosos en cuestión, el ransomware MortalKombat y las amenazas de malware Laplas Clipper, han estado investigando activamente Internet para robar criptomonedas de inversores desprevenidos, reveló el equipo de investigación de inteligencia de amenazas Cisco Talos. Las víctimas de esta campaña se encuentran principalmente en los Estados Unidos, con porcentajes más pequeños de víctimas en el Reino Unido, Turquía y Filipinas, como se muestra a continuación.

Victimología de la campaña maliciosa. Fuente: CiscoTalos

El malware trabaja en asociación para transferir información almacenada en el portapapeles del usuario, que suele ser una cadena de letras y números copiados por el usuario. Luego, la infección detecta las direcciones de billetera copiadas en el portapapeles y las reemplaza con una dirección diferente.

El ataque se basa en la falta de atención del usuario a la dirección de la billetera del remitente, lo que enviaría las criptomonedas al atacante no identificado. Sin un objetivo aparente, el ataque se extiende a individuos y organizaciones pequeñas y grandes.

LEER  Meta abrirá una tienda física con un metaverso en el Área de la Bahía de San Francisco
Notas de rescate compartidas por el ransomware MortalKombat. Fuente: CiscoTalos

Una vez infectado, el ransomware MortalKombat encripta los archivos del usuario y suelta una nota de rescate con instrucciones de pago, como se muestra arriba. Al revelar los enlaces de descarga (URL) asociados con la campaña de ataque, el informe de Talos afirma:

«Uno de ellos llegó a un servidor controlado por un atacante a través de la dirección IP 193[.]169[.]255[.]78 con sede en Polonia para descargar el ransomware MortalKombat. Según el análisis de Talos, 193[.]169[.]255[.]78 está ejecutando un bot RDP, escaneando Internet para abrir el puerto RDP 3389».

Como explicó Malwarebytes, la «campaña del equipo de etiquetas» comenzó con un correo electrónico con el tema de la criptomoneda que contenía un archivo adjunto malicioso. El archivo adjunto ejecuta un archivo BAT que ayuda a descargar y ejecutar el ransomware cuando se abre.

Gracias a la detección temprana de malware de alto potencial, los inversores pueden evitar de manera proactiva que este ataque afecte su bienestar financiero. Como siempre, Cointelegraph aconseja a los inversores que realicen la diligencia debida antes de realizar inversiones, al tiempo que garantizan la fuente oficial de comunicación. Consulte este artículo de la revista Cointelegraph para aprender cómo mantener seguros los criptoactivos.

LEER  La empresa de minería en la nube BitFuFu retrasa la fusión con SPAC hasta mayo

Conectado: El Departamento de Justicia de EE. UU. incautó el sitio web de la banda de ransomware Hive

Por otro lado, a medida que las víctimas de ransomware continúan rechazando las demandas de extorsión, los ingresos de ransomware para los atacantes se desplomaron un 40 % a 456,8 millones de dólares en 2022.

Valor total extorsionado por los atacantes de ransomware entre 2017 y 2022. Fuente: Análisis de cadena

Al revelar la información, Chainalysis señaló que los números no significan necesariamente que la cantidad de ataques haya disminuido en comparación con el año anterior.