Clipper, Robando Bitcoins del portapapeles

En los últimos dos años los incidentes ciberneticos se han involucrado el uso de  criptomonedas, para esto han usado diferentes estrategias, la más conocida es el Ransomware y la que más ha aumentado es el Cryptojacking, en diferentes variaciones. Sin embargo, no son las únicas formas que se han usado en estos últimos años.

Una de las variantes de cryptojacking poco conocida y sigilosa, es la que se ha denominado como Clippler, que aprovecha una técnica antigua de manipulación o extracción de información en el portapapales (clipboard), para que en el momento en que la víctima hace una transacción con criptomonedas, la dirección de destino de la transacción sea modificada en el portapapeles, haciendo que el dinero sea desviado sin que la víctima se de cuenta del cambio.

Esta técnica ha crecido en popularidad debido a que las técnicas legales de minado de criptomonedas ya no son lucrativas, por lo que apuntar a el dinero en movimiento es una sencilla y segura formula para obtener dinero. Una de las primeras detecciones se hace finales de 2017, cuando el troyano cryptoshuffler robo cerca de $140.000 dolares de los usuarios de criptomonedas que hacían compras con Bitcoin en equipos Windows.

Dando un giro inesperado cuando en Mayo de 2018, la unidad de ElevenPaths en Chile detectó un sofisticado troyano Bancario, que incluye la técnica de clipper dentro de su arsenal de capacidades de ataque al sistema financiero, además de hacer parte de la Botnet N40.

Esta amenaza no se detuvo allí, dando el salto hacia los dispositivos móviles a través de aplicaciones en tiendas no oficiales, hasta hace unos pocos días cuando se detectaron las primeras aplicaciones dentro de Google Play, suplantando el desarrollo llamado MetaMask, la cual esta orientada a simplificar el uso de dApps de Ethereum en los navegadores sin la necesidad de desplegar todo un nodo, pero que no tiene en la actualidad una versión móvil oficial.

Al igual que la versión para Windows, este malware aprovecha la posibilidad de acceder a la información del portapapeles, pero en este caso puntal no para cambiar los datos del pago, sino para tomar los datos de acceso a los fondos de Ethereum de la víctima, cuando este las copiaba en el portapapales para algún movimiento financiero.

 

Es importante tener en cuenta este malware al momento de realizar el aseguramiento de los diferentes dispositivos donde se piensen hacer transacciones con criptomonedas, principalmente con Bitcoin y con Ethereum, pues en los últimos meses se han incrementado la detección de malware usando la técnica de monitoreo del portapapeles para hacer cryptojacking.

Para los ataques orientados a Windows, en ElevenPaths desarrollamos una herramienta gratuita, llamada CryptoClipWatcher, la cual detecta cuando se copia una dirección de una billetera en el portapapeles y comprueba que no sea modificada antes de hacer la acción de pegar, si esta es modificada genera una alerta.

Para los ataques orientados a dispositivos móviles, es fundamental que se tenga un software de seguridad actualizado y cada aplicación que se descargue debe ser únicamente de la tienda oficial, validando la web de desarrollador y los permisos solicitados. Adicionalmente, siempre que haga un movimiento financiero desde el móvil, que involucre el portapapeles cerciorar que pegue la información que copio.

La entrada Clipper, Robando Bitcoins del portapapeles aparece primero en Globb Security.