Vulnerabilidades de seguridad en wallets de criptomonedas y nuevos malwares que se desarrollan en la industria, ponen en riesgo la seguridad de tus bitcoins.
Coldcard, una hardware wallet para Bitcoin presenta una vulnerabilidad que puede permitir la perdida de los fondos a través de ingeniería social. Según explica Ben Ma, investigador de seguridad de Shift Crypto, la vulnerabilidad detectada en la hardware wallet Coldcard está asociada con la admisión de la testnet, o red de pruebas de Bitcoin dentro de esta wallet, que puede ser explotada por un actor malicioso para engañar a sus víctimas y hacerlas creer que estarían realizando una transacción en la red de pruebas, cuando en realidad ocurriría en la mainnet o red principal.
Ma presentó un informe donde detalla que este ataque no es muy descabellado, pues algo muy similar se detectó en las wallets de Ledger recientemente. El investigador explica que aunque Coldcard no admite altcoins como Litecoin, Dash y otras como si lo hace Ledger, sí admite la testnet de Bitcoin, que puede ser utilizada de la misma forma para engañar a un usuario para que confirme una transacción y robar sus fondos.
“Si bien Coldcard no admite «shitcoins», sí admite testnet. Una prueba rápida confirmó que Coldcard era de hecho vulnerable exactamente de la misma manera que Ledger. Un usuario que confirme una transacción de testnet en el dispositivo podría estar realmente gastando fondos de mainnet (es decir, lo real) sin su conocimiento”.
Aunque el análisis realizado por Ma revela que realmente existe la posibilidad de que usuarios de esta wallets sean víctimas de ingeniería social, parece que los desarrolladores de la wallet, la compañía Coinkite, desestima la gravedad del asunto.
Te puede interesar: Coldcard: Una fuente anónima filtra información sobre el chip del hardware wallet de Bitcoin de MK3
Coldcard no es inmune a ataques de ingeniería social
En su informe, Ma explica que los desarrolladores de Coldcard fueron advertidos sobre esta vulnerabilidad, y que acordaron un período de 90 días de no divulgación para crear una solución que permitiera corregir el fallo. La compañía parece que diseñó una solución pero esta no ha sido implementada aún, por lo que, una vez expirado el tiempo acordado, Ma decidió informar a los usuarios sobre el riesgo, a fin de que estén alertas y puedan tomar medidas de precaución para proteger sus fondos hasta que esté disponible la nueva versión que corrige el fallo.
“Coinkite creó una solución el 30 de septiembre pero, a partir de esta fecha, aún no ha lanzado una actualización de firmware para mitigar posibles vulnerabilidades… Por lo tanto, ahora revelamos el problema y alentamos a los usuarios de Coldcard a tomar las precauciones adecuadas hasta que haya una actualización disponible”.
Aunque robar los bitcoins de los usuarios implementando este ataque no es algo muy fácil de ejecutar, tampoco es imposible, explica Ma. La vulnerabilidad solo puede ser explotada si el dispositivo hardware wallet está desbloqueado, además requiere la interacción del usuario así como una gran audacia por parte del atacante, que tiene que convencer al usuario de que realice una transacción de testnet a la dirección de testnet que se le indica.
Por último, Ma señala que desarrolló una prueba de concepto basada en la investigación de Monokh sobre Ledger, para determinar si Coldcard era vulnerable a este tipo de ataques, y al descubrir que si lo es informó al equipo de Coinkite de manera responsable e inmediata.
Otros riesgos para tus bitcoins, España en la mira
Además del posible riesgo de robo de criptomonedas que explicó Ma en su informe sobre Coldcard, investigadores de la compañía de ciberseguridad AVAST también informaron sobre el descubrimiento de un nuevo malware llamado Meh, que cuenta con muchas funcionalidades que ponen en riesgo la seguridad de sus datos, archivos, contraseñas y hasta las criptomonedas. Meh es capaz de robar contraseñas de un computador comprometido hasta minar criptomonedas o robarlas desde las wallets y monederos.
Según el informe que presentó AVAST en su blog Decoded, Meh es un malware escrito en Delphi que es capaz de ejecutar una gran variedad de ataques con herramientas de acceso remoto, y que apunta principalmente a ciudadanos españoles, aunque también se han registrado varios casos en países de Latinoamérica, como Argentina y México. AVAST ha catalogado a Meh como una herramienta muy versátil para los ciberdelincuentes.
“El ladrón de contraseñas de Meh se centra principalmente en los usuarios españoles, contando más de 88.000 intentos de infección en este país, desde junio de 2020. El segundo país más atacado es Argentina con más de 2.000 usuarios afectados”.
Un malware con capacidad «multithreading»
Según explica la compañía de ciberseguridad, Meh cuenta con capacidad de «multithreading» que le permiten activar múltiples hilos de ejecución, cada uno con una función especifica de ataque. AVAST cita que se trata de una lista extensa de estos hilos de trabajo, entre los que se encuentran:
- Inyección;
- Instalación y persistencia;
- Comprobación anti-AV y anti-IObit Malware Fighter;
- Minador de monedas;
- Descarga de Torrent;
- Robo de portapapeles y registro de teclas;
- Wallets y monederos de criptomonedas;
- Fraude publicitario.
Con esta característica, Meh es capaz de ejecutar diferentes acciones para realizar diferentes ataques en un computador al mismo tiempo. Respecto a las criptomonedas, el atacante puede utilizar Meh para infectar un computador y aprovechar su potencial computacional para minar criptomonedas para sí mismo; además recoge información confidencial del computador y la envía a un servidor C&C controlado por el atacante.
“Meh también es capaz de robar carteras de criptomonedas ubicadas en la PC infectada”.
El malware verifica las ubicaciones comunes de las wallets y monederos de criptomonedas en el computador infectado y, si se encuentra alguno, envía la información al servidor C&C inmediatamente, junto a un mensaje que contiene el nombre de usuario, el nombre del computador y un mensaje de depuración de la criptomoneda específica.
Recomendaciones de seguridad
Meh está diseñado para atacar a usuarios del sistema operativo de Windows, aunque AVAST señala que los antivirus Norton, Nod32 y Bitdefender resultaron efectivos para detectar el malware, por lo que recomienda a los usuarios a mantener sus computadores actualizados.
No hay que olvidar que con el auge actual de las criptomonedas, los activos digitales se están volviendo el blanco perfecto para los hackers y ciberdelincuentes en la red, que cada día descubren o desarrollan nuevos vectores de ataque, que ponen en riesgo su seguridad y la de sus fondos.
Continúa leyendo: Anubis, el nuevo malware capaz de robar las credenciales de un monedero de criptomonedas