Cómo robar criptomonedas a través del DNS

Lo barato sale caro: las aplicaciones crackeadas para macOS obtienen código malicioso de los registros DNS para robar criptomonedas

El uso de juegos o aplicaciones crackeadas para propagar malware es uno de los trucos más antiguos de los ciberdelincuentes. Por increíble que parezca, en 2024 aún existen víctimas crédulas que creen que es seguro descargar software y juegos crackeados de sitios web de piratería. El tipo de amenaza en sí mismo puede ser antiguo, pero los atacantes maliciosos siguen encontrando nuevas formas de eludir la seguridad en los ordenadores de las víctimas para distribuir malware.

Hace poco, descubrimos una nueva campaña de este tipo dirigida a ordenadores Apple que ejecutan versiones más recientes de macOS (13.6 y posteriores) y que aprovechan ciertas funciones del Sistema de Nombres de Dominio (DNS) para descargar cargas útiles maliciosas. Se ofrece a las víctimas la descarga de versiones crackeadas de aplicaciones populares, de forma gratuita. Entonces, ¿qué les espera a quienes ceden a la tentación?

Activación falsa

Después de descargar una imagen de disco que supuestamente contiene la aplicación crackeada, se solicita a la víctima que copie dos archivos en la carpeta Aplicaciones: la aplicación en sí misma y un supuesto “activador”. Si solo copia e inicia la aplicación, esta no se ejecutará. Según el manual, la aplicación crackeada debe “activarse” primero. Nuestro análisis descubrió que el activador no hace nada sofisticado: solo elimina varios bytes desde el inicio del archivo ejecutable de la aplicación para que sea funcional. En otras palabras, los ciberdelincuentes han modificado una aplicación previamente crackeada para evitar que se ejecute a menos que se “active” primero. Para sorpresa de nadie, el activador tiene un efecto secundario indeseable: solicita permisos de administrador cuando se ejecuta y los usa para instalar un script de descarga en el sistema. Después, el script descarga una carga útil adicional de la red: una puerta trasera que solicita comandos de sus operadores de vez en cuando.

Manual de instalación, ventana del activador y solicitud de contraseña de administrador

Manual de instalación, ventana del activador y solicitud de contraseña de administrador

Vinculación a través de DNS

Para descargar el script malicioso, el activador emplea una herramienta que es a la vez exótica y de aspecto inocente: el Sistema de nombres de dominio (DNS). Anteriormente, hablamos acerca del DNS y el DNS seguro, pero omitimos una función técnica interesante de este servicio. Los registros DNS no solo vinculan el nombre de Internet de un servidor con su dirección IP, sino que también pueden contener una descripción de texto sin formato del servidor, llamado registro TXT. Esto es lo que utilizaron los actores maliciosos al incrustar fragmentos de código malicioso dentro de los registros TXT. El activador descarga tres registros TXT que pertenecen a un dominio malicioso y crea un script a partir de ellos.

Aunque parece complicada, esta configuración tiene una serie de ventajas. Para empezar, el activador no hace nada particularmente sospechoso: cualquier aplicación web solicita registros DNS; así es como debe comenzar cualquier sesión de comunicación. Asimismo, los actores maliciosos pueden actualizar con facilidad el script para modificar el patrón de infección y la carga útil final mediante la edición de los registros TXT del dominio. Y, por último, eliminar contenido malicioso de Internet no es una tarea fácil, debido a la naturaleza distribuida del Sistema de nombres de dominio. A las empresas y los proveedores de servicios de Internet les resultaría difícil hasta detectar la infracción de sus directivas, porque cada uno de estos registros TXT es solo un fragmento de código malicioso que no representa una amenaza en sí mismo.

El jefe final

El script de descarga que se ejecuta periódicamente permite a los atacantes actualizar la carga útil maliciosa y realizar las acciones que deseen en el ordenador de la víctima. Al momento de nuestro análisis, su objetivo concreto era robar criptomonedas. La puerta trasera analiza el ordenador de la víctima de manera automática en busca de carteras Exodus o Bitcoin y las reemplaza con versiones troyanizadas. Una cartera Exodus infectada roba la frase de seguridad del usuario, mientras que una cartera Bitcoin infectada roba la clave de cifrado que se usa para cifrar las claves privadas. Este último caso les da a los atacantes la capacidad de firmar transferencias en nombre de la víctima. Así es como alguien puede intentar ahorrar algunas decenas de dólares en aplicaciones pirateadas, solo para perder mucho más en criptomonedas.

Cómo protegerse frente a un ataque a las carteras de criptomonedas

Esto no es novedoso, pero sigue siendo cierto: para mantenerte lejos de esta amenaza y evitar convertirte en una víctima, descarga aplicaciones solo de las tiendas oficiales. Antes de descargar una aplicación desde el sitio web de un desarrollador, asegúrate de que sea el genuino y no de uno de los muchos sitios de phishing.

Si estás pensando en descargar la versión crackeada de una aplicación, piénsalo dos veces. Los sitios de piratería “escrupulosos y fiables” son tan improbables como los elfos y los unicornios.

No importa cuánto consideras que entiendes de tecnología, o qué tanta cautela y atención a los detalles crees que tienes, asegúrate de usar seguridad integral en todos tus dispositivos: teléfonos, tabletas y ordenadores. Kaspersky Premium es una buena solución multiplataforma. Comprueba que todas las funciones de seguridad básicas y avanzadas estén activadas. En cuanto a los propietarios de criptomonedas, además de lo anterior, sugerimos que lean nuestras instrucciones detalladas sobre la protección de carteras de criptomonedas, tanto hot como cold.

Consejos