HackBoss y el timo de la estampita
HackBoss es una muestra más del ingenio que son capaces de demostrar los ciberdelincuentes a la hora de salirse con la suya, y que nos recuerda a algunos timos históricos. Y es que, para nuestra desgracia, es indiscutible que al otro lado también se concentra mucho talento, que en ocasiones es empleado para crear nuevas técnicas y depurar las ya existentes, y en otros es puesto al servicio de encontrar nuevas vías de difusión para sus creaciones. Su capacidad de búsqueda de oportunidades es sobresaliente.
El último ejemplo de ello lo encontramos en HackBoss, un malware especializado en criptomonedas detectado por Avast y que técnicamente no es demasiado complejo (en realidad es bastante simple). Básicamente, su función es permanecer atento constantemente al contenido del portapapeles de Windows, a la espera de encontrar un texto que sea capaz de reconocer como el identificador de un monedero de criptomonedas.
En tal caso, si detecta una cadena que identifica un monedero, hackBoss la sustituye por otra, la del monedero de criptomonedas del operador de este malware. ¿Con qué fin? Muy sencillo: cuando un usuario copia este tipo de información en el portapapeles de Windows, generalmente es porque va a emplearlo para hacer una transferencia al monedero al que apunta, o para que le hagan un envío al suyo. ¿Y qué es lo que hace entonces? Sustituir la referencia a ese monedero por una propia, con el fin de que el usuario no se de cuenta de ello al pegarla, y en vez de transferir los fondos al monedero legítimo, lo haga al del ciberdelincuente responsable de HackBoss.
Un truco sencillo, pero sin duda bastante ingenioso, que nos recuerda una vez más que cualquier proceso puede ser analizado a la busca y captura de debilidades. El portapapeles de los sistemas operativos ha sido, durante muchos años, un enorme agujero de seguridad, y no ha sido hasta hace poco que sus desarrolladores han empezado a trabajar en medidas de seguridad para hacerlo, al menos, un poco menos explotable con fines ilícitos.
Algunas de las herramientas que se pueden descargar del canal de HackBoss. Imagen: Avast
Otra interesante particularidad de HackBoss es su medio de difusión. A diferencia de gran parte del malware, que recurre al phishing o a la web, este malware se difunde a través de Telegram, el popular servicio de mensajería instantánea. ¿Y cómo lo hace? Pues a través de un canal (un grupo en el que solo los administradores pueden publicar contenido) llamado… efectivamente, HackBoss, y en el que promocionan su sus herramientas como «El mejor software para piratas informáticos (hack bank / dating / bitcoin)«. Supuestamente, el software que se puede descargar desde dicho canal varía desde crackers bancarios y de sitios sociales hasta varias billeteras de criptomonedas y crackers de claves privadas o generadores de códigos de tarjetas de regalo.
¿La realidad? Efectivamente, ni uno solo de los ejecutables que puedes descargar desde ese grupo cumple la función que promete. En su lugar, lo que hacen es descargar su carga útil que, desde ese mismo momento, permanecerá atenta al portapapeles de Windows, a la espera de que aparezca algún enlace a un monedero para sustituirlo por el suyo. Con una técnica tan sencilla, estos son los beneficios que han obtenido los responsables de HackBoss según Avast:
| Criptomoneda | Cantidad recibida | Importe en dólares |
| Bitcoin | 8,43237903 BTC | 543.409,49 dólares |
| Ethereum | 6,893571509 ETH | 16.430,83 dólares |
| Litecoin | 1,12499004 LTC | 313,18 dólares |
| Dogecoin | 2,299,38 DOGE | 297,58 dólares |
Efectivamente, más de medio millón de dólares en Bitcoin y algo más de 16.000 en Ethereum. Litecoin y Dogecoin aportan cifras mucho más humildes, pero hay que tener en cuenta que su valor aumenta, y lo mismo ocurre con su volumen de operaciones, por lo que a medio plazo podemos esperar ver cómo esas cifras crecen considerablemente.
Desde hace ya muchos años existe una tendencia bastante reconocible, por la que usuarios con escasos (o incluso nulos) conocimientos técnicos desean entrar en el mundo del hacking por la vía fácil, es decir, a base de interfaces gráficas lo más amistosas posible, asistentes en los que solo tengas que facilitar dos o tres datos, pinchar en el botón Siguiente varias veces y, ¡oh sorpresa!, ya has accedido al correo de tu pareja, a los servidores de tu banco o a la cámara del móvil de la personalidad pública que te ha robado el corazón (o a la que no soportas, que también hay bastante de esto).
Malware como HackBoss se aprovecha de este anhelo, un poco del mismo modo en el que el timo de la estampita o el tocomocho sacaban partido de las ganas de la víctima de ser él quien diera el golpe, comprando a precio de risa unas «estampitas» (supuestos billetes) o un billete de lotería premiado a un pobre tonto (este era el nombre con el que se solía identificar el rol de uno de los timadores) que no sabe qué es lo que se trae entre manos. Querer ser el más listo, especialmente sin la preparación adecuada, al final, suele acabar mal.
La entrada HackBoss y el timo de la estampita es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
