Un nuevo malware llamado Masad Stealer puede reemplazar las direcciones de las billeteras a medida que se escriben gracias al código malicioso que se inyecta en el navegador. Según Juniper Networks, también roba:
El programa vuelca esta información a la cuenta Telegram del controlador de malware, lo que garantiza una seguridad relativa de los datos que roba. También puede recortar y cambiar automáticamente direcciones Monero, Litecoin, Zcash, Dash y Ethereum y utiliza funciones especiales de búsqueda para localizar estas direcciones en el portapapeles. Una vez que intercambia las direcciones, puede interceptar el cripto como si estuviera siendo enviado a carteras legítimas.
La versión particular del malware estudiado por Juniper enviaba criptografía a esta cartera que actualmente contiene casi un bitcoin completo.
«Basados en nuestra telemetría, los principales vectores de distribución de Masad Stealer se están disfrazando de herramienta legítima o se están convirtiendo en herramientas de terceros», escribió la organización de investigación. «Los actores de las amenazas logran descargas de usuarios finales anunciándose en foros, en sitios de descarga de terceros o en sitios de intercambio de archivos».
El software se disfraza de software de aspecto útil como Tradebot_binance.exe, Galaxy Software Update.exe y Fortniteaimbot 2019.exe. Una vez infectado, el equipo comienza a comunicarse con el canal de telegramas de comando y control y envía los datos privados.
El malware supuestamente cuesta 40 dólares en la web oscura y es completamente configurable y muy peligroso, dijo Juniper.
«Juniper Threat Labs cree que Masad Stealer representa una amenaza activa y continua. Los robots de Mando y Control siguen vivos y respondiendo al momento de escribir este artículo, y el malware parece estar disponible para su compra en el mercado negro», escribieron los investigadores.