CryptoShuffler: un troyano roba 140.000 dólares en bitcoins

2 Nov 2017

Imagina que un día decides usar Bitcoin para pagar una pizza. Copias la dirección del monedero desde la web de la pizzería, introduces la cantidad y le das al botón Enviar. La transferencia se realiza, pero la pizza no llega. Los dueños de la pizzería dicen que no han recibido el pago. ¿Qué sucede? No te enfades con la pizzería, es todo culpa de CryptoShuffler.

A diferencia del ransomware cifrador, este troyano evita ser detectado y hace lo posible para no aparecer en el radar. Reside en la memoria del ordenador y monitoriza el portapapeles, el almacenamiento temporal destinado a las operaciones de cortar y pegar.

Cuando CryptoShuffler detecta la dirección de un monedero de criptomoneda en el portapapeles (es muy fácil hacerlo por la longitud de la línea y los caracteres específicos), la reemplaza por otra. Como resultado, la transferencia de criptomonedas se realiza, solo que el destinatario no es la pizzería, sino los hackers responsables de CryptoShuffler.

Una vez estudiado el troyano, Kaspersky Lab descubrió que el malware no solo tiene como objetivo a Bitcoin, sino también a Ethereum, Zcash, Monero, Dash, Dogecoin y otras criptomonedas. Sustituir los monederos Bitcoin es la actividad más lucrativa del troyano (durante la publicación de este artículo, los atacantes ya se han hecho con algo más de 23 BTC, unos 140.000 dólares según el cambio).

Los otros monederos pertenecientes a los creadores de CryptoShuffler contenían cantidades de miles de dólares.

El troyano ha necesitado poco más de un año para reunir esa cantidad. Al pico de actividad de finales de 2016 le siguió un desplome, pero en junio de 2017, CryptuShuffler reapareció.

Este troyano demuestra que un ordenador o smartphone infectado no tiene por qué disminuir su velocidad de funcionamiento ni mostrar notas de rescate. Al contrario, muchos tipos de malware intentan operar de la manera más desapercibida posible; cuanto más tiempo pasen sin ser detectados, más dinero harán ganar a sus creadores.

Nuestro consejo para todos los usuarios de criptomonedas es que tengan cuidado y que se protejan. Nuestros productos detectan CryptoShuffler como Trojan-Banker.Win32.CryptoShuffler.gen y bloquean sus acciones.