Un software malicioso que se hace pasar por un bot de trading basado en Python ha atacado a los comerciantes de criptomonedas en un ataque multifacético a la cadena de suministro. A medida que los atacantes perfeccionan sus métodos, los incidentes están aumentando junto con una recuperación en los volúmenes del mercado de criptomonedas.
Métodos de Ataque
Según una reciente publicación en el blog de la empresa de ciberseguridad basada en la nube Checkmarx, los comerciantes de criptomonedas han sido atacados por un virus avanzado disfrazado como software de trading de criptomonedas basado en inteligencia artificial. Este malware tiene como objetivo robar datos sensibles y vaciar billeteras de criptomonedas.
Checkmarx señaló que el malware se distribuyó a través de GitHub y PyPi (Python Package Index). PyPi es una plataforma centralizada para paquetes de Python, y el malware apuntó a los sistemas operativos Windows y Mac.
Detalles Técnicos del Ataque
El malware emplea interfaces gráficas de usuario (GUIs) engañosas para confundir a las víctimas y sigue un proceso de infección de virus en múltiples etapas que dirige a los usuarios a un sitio web falso. Los atacantes preparan narrativas y procesos elaborados para acceder a la información de los inversores a través de la aplicación que pretende ser un bot de trading. Checkmarx declaró, “El malware CryptoAITools utiliza un sitio web falso para atraer a las víctimas a la trampa de malware secundario, empleando un sofisticado proceso de infección en múltiples etapas.”
“El malware CryptoAITools incluye una interfaz gráfica de usuario (GUI) como un componente clave de su estrategia de ingeniería social. Cuando se activa el malware de segunda etapa, se presenta como la aplicación ‘AI Bot Starter’. Este enfoque por etapas confunde a los usuarios y recopila información sensible sin desplegar directamente el virus.” – Checkmarx
El atacante también creó un canal de Telegram haciéndose pasar por soporte técnico para el producto, con el objetivo de generar confianza atrayendo a los usuarios con ofertas de prueba gratuita.
“En el chat de Telegram, el atacante utiliza varias tácticas para atraer a posibles víctimas. Al ofrecer ‘soporte de bot’, establecen credibilidad y reputación. Promueven el repositorio de código de GitHub como el ‘bot más fuerte’ para atraer a aquellos que buscan herramientas de trading avanzadas.” – Checkmarx
Checkmarx advirtió que el malware podría tener consecuencias “significativas” para las víctimas, lo que podría llevar al robo de identidad, robo de datos del navegador, acceso a archivos sensibles de la computadora y robo de activos de criptomonedas. Como resultado, estas nuevas tácticas amenazan la seguridad de los comerciantes de criptomonedas, destacando la necesidad de precaución. Los usuarios deben evitar descargar software de fuentes no confiables y mantenerse alejados de enlaces sospechosos. Además, el uso de programas antivirus actualizados e implementar medidas de seguridad adicionales como la autenticación de dos factores podría ser beneficioso.
