Se ha detectado una sofisticada campaña de malware a nivel global diseñada para robar criptomonedas. Los atacantes utilizan un cargador multietapa denominado CountLoader, el cual combina JavaScript, PowerShell y shellcode para desplegar un payload capaz de interceptar y redirigir las transacciones de los usuarios.

Una ola de malware bien diseñado está drenando silenciosamente criptomonedas de usuarios en todo el mundo, y los atacantes detrás de esto han hecho grandes esfuerzos para permanecer ocultos.

Investigadores han descubierto una campaña a gran escala basada en un cargador de múltiples etapas llamado CountLoader, que encadena JavaScript, PowerShell y shellcode para entregar una carga útil que intercepta y redirige transacciones de criptomonedas.

El alcance de esta campaña es sorprendente, con decenas de miles de máquinas infectadas en múltiples continentes. El malware no depende de un solo truco.

Comienza con un archivo EXE malicioso que ejecuta un comando de PowerShell, descargando un cargador de JavaScript ofuscado y ejecutándolo a través de mshta.exe, una utilidad legítima de Windows que los atacantes abusan frecuentemente porque el sistema operativo confía en ella por defecto.

Esto permite que el malware se mezcle con la actividad normal, dándole tiempo para instalarse antes de que cualquier defensa pueda responder.

Analistas de McAfee Labs, quienes redactaron la investigación y compartieron detalles en un informe, señalaron que la campaña alcanzó aproximadamente a 86,000 máquinas infectadas únicas.

En promedio, alrededor de 5,000 sistemas infectados se conectaban a la infraestructura de comando y control cada minuto. Las infecciones fueron más altas en la India, seguida de Indonesia y los Estados Unidos, con una fuerte presencia en el sudeste asiático.

Más allá de la entrega basada en internet, el malware también se propaga a través de unidades USB. Cuando recibe instrucciones de su servidor de comando, CountLoader reemplaza archivos en unidades externas conectadas con archivos de acceso directo LNK.

Campaña de Malware que Entrega Crypto Clipper

Abrir uno de estos accesos directos ejecuta silenciosamente el malware mientras abre el archivo original, por lo que las víctimas no notan nada inusual. Alrededor de 9,000 infecciones fueron rastreadas hasta este método basado en USB.

El objetivo final es un cryptocurrency clipper (recortador de criptomonedas). Una vez cargado en la memoria, monitorea el portapapeles en segundo plano.

En el momento en que copias una dirección de billetera, el clipper la reemplaza por una controlada por el atacante, redirigiendo los fondos silenciosamente sin ninguna advertencia visible para ti.

La cadena de infección está diseñada para evitar la detección en cada etapa. Después de que el EXE inicial se ejecuta, una tarea programada se activa cada 30 minutos para mantener la persistencia desde el primer paso.

El script de PowerShell luego decodifica una carga útil Base64 y la ejecuta usando Invoke-Expression, una técnica común para ejecutar código oculto sin escribir nada en el disco.

CountLoader toma entonces el control como un archivo HTA cargado a través de mshta.exe. Oculta su ventana, intenta borrar su propio archivo si se ejecuta localmente y rota a través de servidores de comando hasta que uno responda.

Una vez conectado, realiza un saludo cifrado, obtiene un token JWT y envía detalles sobre el host infectado, incluyendo cualquier billetera de criptomonedas o extensiones de navegador instaladas.

Las siguientes etapas involucran un empaquetador de PowerShell que descifra y lanza un inyector de shellcode. Antes de inyectar, el script desactiva AMSI, una función de Windows diseñada para detectar scripts maliciosos, utilizando un bypass público conocido.

El shellcode luego carga la carga útil final directamente en la memoria bajo systeminfo.exe, sin tocar nunca el disco, lo que hace que sea significativamente más difícil de detectar para las herramientas de seguridad.

Crypto Clipper Entregado vía EtherHiding

Lo que diferencia a la carga útil final es cómo localiza su servidor de comando. En lugar de codificar un dominio que pueda ser bloqueado o eliminado, el clipper utiliza una técnica llamada EtherHiding, obteniendo la dirección del servidor directamente de la blockchain de Ethereum.

Dado que la blockchain es descentralizada, no hay un punto único que los defensores puedan cerrar para cortar la comunicación del malware.

Una vez recuperada la dirección del servidor, el clipper monitorea silenciosamente el contenido del portapapeles y es compatible con múltiples formatos de criptomonedas, lo que significa que puede intercambiar direcciones de Bitcoin, Ethereum y otras sin que tú te des cuenta.

Los investigadores midieron la escala real de esta campaña registrando un dominio C2 de respaldo y desviando el tráfico infectado hacia su propio servidor, convirtiendo efectivamente la infraestructura de los atacantes en su contra.

Para reducir el riesgo, debes evitar ejecutar archivos EXE de fuentes no confiables, tratar con precaución las unidades USB desconocidas y siempre verificar las direcciones de las billeteras antes de enviar criptomonedas.

Vigilar si aparecen tareas programadas desconocidas en Windows y mantener actualizado el software de seguridad también puede ayudarte a detectar esta amenaza antes de que se produzcan daños graves.

Fuentes:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sinkholing-countloader-insights-into-its-recent-campaign/
https://cybersecuritynews.com/malware-campaign-deliver-crypto-clipper/