Miembros
Miembros
Este es otro caso que muestra el riesgo de utilizar supuestas herramientas para saltarse el licenciamiento de software, y lo peligroso que es normalizar ejecutables de origen dudoso, pero con cierta reputación. A finales de diciembre, la policía surcoreana informó de la extradición de un ciudadano lituano de 29 años acusado de distribuir, durante un periodo prolongado, una versión “maliciosa” de KMSAuto, una herramienta usada para activar de forma ilegal Windows y Office. Y es importante indicar que entrecomillamos “maliciosa” porque, ya de por sí, esta herramienta no debería de tomarse como una opción segura para su uso. Además de los problemas legales que desencadena su uso, lo habitual es tener que deshabilitar las herramientas de seguridad en el equipo para poder ejecutarla.
Según lo publicado por distintos medios, el archivo se descargó en torno a 2,8 millones de veces y se utilizó para robar criptoactivos mediante un mecanismo de sustitución de direcciones: la víctima copiaba una cartera para pagar y, sin darse cuenta, el destino se cambiaba por otra controlada por el atacante. Este tipo de operación es otra de tantas variantes dentro del fraude, colándose en este caso en los hábitos de uso del usuario: copiar, pegar, confirmar y seguir adelante. Las cifras divulgadas en la investigación apuntan a miles de carteras afectadas y miles de transacciones manipuladas, con un perjuicio estimado en torno a 1,7 mil millones de wones (aproximadamente 1,18 millones de dólares), y un recorrido internacional que obligó a coordinar a varios países, incluyendo una detención en Georgia y registros en Lituania.
Clipper malware: por qué funciona un truco tan simple
En este caso el malware se aprovecha de fricciones prácticas, como la longitud de las direcciones de criptomonedas, que empuja a copiar y pegar. Desde hace años, distintas firmas de seguridad describen como los “clippers”, por ejemplo, monitorizan el portapapeles y reemplazan cadenas que se parecen a direcciones de wallet por otras que benefician al atacante, aprovechando que el
usuario rara vez valida carácter por carácter la dirección final. ESET1 ya explicaba este patrón cuando documentó casos de clipper en entornos móviles y cómo se apoyan en la costumbre de usar el portapapeles para evitar errores al teclear direcciones largas.
Señales prácticas para no caer en el patrón
De nuevo observamos que la protección no puede limitarse únicamente a la instalación de un antivirus, porque en este caso concreto necesitamos reducir la superficie de confianza automática, aprovechándonos de controles sencillos.
Para este caso concreto, se podría haber evitado el uso de activadores y cracks (aunque sean conocidos) reduciendo de golpe una categoría completa de riesgo, y no solo por el malware, también por la ausencia de trazabilidad, firma digital y garantías mínimas sobre lo que se ejecuta. Además, al operar con criptoactivos, conviene asumir que el punto débil suele ser el dispositivo del
usuario, no la cadena de bloques: hay que validar la dirección pegada (al menos los primeros y últimos caracteres), usar listas blancas de destinatarios cuando la plataforma lo permite, y desconfiar de equipos que estén fuera de nuestro control.