Hace apenas una semana hablamos sobre BitCoin, el dinero virtual utilizado al margen de reguladores y autoridades, y barajamos algunos métodos “menos éticos” que podrían utilizarse para engordar el monedero. A día de hoy todos los pronósticos se han cumplido, tal y como era previsible.
Hipótesis (1):
“Sustracción directa del monedero virtual de usuarios legítimos, el ‘wallet.dat’, donde se encuentra la llave privada del usuario que facilita operar con su dinero.”
Unas horas después de publicarse nuestra noticia, localicé un troyano que hacía precisamente eso, e hice un par de comentarios en Twitter:
https://twitter.com/#!/bquintero/status/81148103675215872
https://twitter.com/#!/bquintero/status/81282998372274176
Al día siguiente, a raíz de esos comentarios, Symantec publicaría un post en su blog sobre el troyano que, finalmente, obtuvo cierta repercusión mediática:
http://www.symantec.com/connect/blogs/all-your-bitcoins-are-ours
http://www.wired.com/threatlevel/2011/06/bitcoin-malware/
Hipótesis (2):
“Existe otra vía que consistiría en poner a “minar” ordenadores de terceros para generar tu dinero, por ejemplo, si eres administrador de una red corporativa podrías utilizar servidores y estaciones de trabajo de la red.”
Hoy saltaba a la luz el expediente abierto a un administrador de sistemas de ABC Innovation por un caso grave de mala conducta. El trabajador es acusado de usar los servidores y sistemas de la empresa para “minar” bitcoins: http://bit.ly/iWVP6p
Hipótesis (3):
“También se podría hacer de forma distribuida y masiva por Internet aprovechando sistemas infectados, vía una botnet. De hecho, ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas.”
De nuevo detectamos un malware diseñado a tal efecto, también anunciado por Twitter:
https://twitter.com/#!/bquintero/status/83587807922241536
https://twitter.com/#!/bquintero/status/83590803255074817
https://twitter.com/#!/bquintero/status/83592020404338688
A raíz de estos casos hemos detectado más muestras similares, incluyendo droppers que instalan y ejecutan de forma oculta el demonio oficial “bitcoind.exe” y variantes muy similares, por lo que nos reiteramos en nuestro consejo original:
“Ya existen algunas versiones del software original diseñadas para ejecutarse de forma oculta y aprovechar los ciclos ociosos de los ordenadores para no levantar sospechas.[…] En mi opinión, dadas las circunstancias, no estaría de más que fueran detectadas bajo la categoría de PUA (Potentially Unwanted Application) o similar, de forma que los administradores y usuarios particulares tuvieran la opción de identificar este tipo de software instalado en sus máquinas.”
De momento, Symantec ha sido el único motor antivirus que ha seguido la recomendación: http://bit.ly/j7nNQH
Mas información en este enlace.
Fuente: Hispasec
