Cada malware que aparece posee una curiosidad. En esta ocasión, expertos en seguridad han localizado una amenaza que es capaz de modificar la información que se encuentra en el portapapeles del sistema operativo. Se llama ComboJack y afecta a sistemas que ejecutan Windows y actúa solo cuando la información existente en el portapapeles pertenece criptomonedas y servicios relacionados.
¿Complicado? No. La amenaza monitoriza en todo momento este elemento de los sistemas operativos, buscando sobre todo direcciones. Una vez detectada, la amenaza posee las funciones necesarias para llevar a cabo la modificación de la información. O lo que es lo mismo, el usuario utilizará datos que no coinciden con los copiados, pero creerá que son los mismos y en la mayoría de las ocasiones no se percatará del cambio.
Los expertos de Palo Alto Networks indican que, la amenaza, es capaz de detectar cuando la información que se ha copiado pertenece a las criptomonedas Bitcoin, Litecoin, Ethereum o Monero, Indican que también es capaz de detectar direcciones pertenecientes a sistemas de pago, como Qiwi, Yandex Money o WebMoney.
Desde la empresa también han querido puntualizar sobre la vía de distribución escogida para ComboJack por parte de los ciberdelincuentes. Para ser más precisos, estamos hablando del correo electrónico (de nuevo) como la vía de distribución utilizada. Para ser más exactos, hablamos de mensajes spam que poseen temáticas muy variadas. Quizás os pueda ser de utilidad saber qué es el secuestro del portapapeles y cómo evitarlo.
Más detalles de ComboJack
Cómo se produce la instalación en el sistema no resulta sencilla. El modelo de correo electrónico más utilizado responde a un escaneo de un pasaporte extraviado. La información se encuentra en un documento PDF que, tal y como es habitual, los usuarios proceden a descargar. Llegados a este punto, el usuario realiza la apertura en realidad de un RTF que posee un objeto HTA que buscará explotar la vulnerabilidad CVE-2017-8579 de DirectX.
Si la operación finaliza de forma exitosa, el usuario se topará con las ejecuciones de unos scripts a través de PowerShell, realizando la extracción y posterior ejecución de un ejecutable.
Todavía no se ha realizado la instalación de la amenaza. Para ser más precisos, aún se debe realizar la descarga de otro SFX que en esta ocasión si supondrá la llegada de ComboJack al equipo.
El troyano conseguirá persistencia frente a los procesos de reinicio del equipo y comienza con el escaneo periódico del portapapeles del sistema operativo Windows en busca de la información que anteriormente hemos descrito.
Una vez detectada esta información, es sustituida por otra existente en una lista que el troyano maneja de forma interna y que pertenece a los ciberdelincuentes. La finalidad no es otra que hacerse con el mayor botín posible en forma de criptomonedas.
Algunas herramientas de seguridad no son capaces de detectar de forma acertada a la amenaza. Por este motivo, los expertos en seguridad invitan a los usuarios a realizar una doble comprobación tras realizar el pegado de la información. Deben cerciorarse de que la información no se ha visto alterada.
Mientras las criptomonedas y su popularidad continúen al alza, continuaremos viendo este tipo de amenazas.