18 de octubre de 2018

Los analistas de Doctor Web investigaron la actividad de un ciberdelincuente que se dedica a la fraudulencia en el mercado de criptomoneda. El negocio criminal del malintencionado cuyo alias es Investimer incluye una amplia gama del software nocivo usado y un conjunto importante de modos de ganar dinero ilegal.

Un ciberdelincuente, conocido en Internet por sus falsas nombres Investimer, Hyipblock y Mmpower, usa en su actividad un amplio conjunto de los troyanos comerciales más difundidos hoy día en el mercado criminal. Entre ellos se destacan los stealers Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Así mismo, el malintencionado dispone del backdoor Spy-Agent desarrollado a base de la aplicación TeamViewer, los backdoors DarkVNC y HVNC que sirven para acceder al equipo infectado por protocolo VNC, y otro backdoor basado en el software RMS. El ciberdelincuente aplica activamente el descargador Smoke Loader, y anteriormente usaba Loader by Danij y un troyano miner que dispone del módulo incrustado para suplantar el contenido del portapapeles (Clipper). Investimer dispone de los servidores de control con la interfaz administrativa en las plataformas como jino.ru, marosnet.ru y hostlife.net, así mismo, la mayoría de ellos funciona bajo la protección del servicio Cloudflare para ocultar la dirección IP real de estos recursos de red.

Investimer se dedica a la fraudulencia con criptomoneda, en su mayoría, con Dogecoin. Para realizar sus ideas, creó muchos sitios web phishing que copian los recursos de Internet reales. Uno de ellos es una bolsa de criptomoneda falsificada para trabajar con el cual supuestamente se necesita un programa cliente especial. El troyano Spy-Agent se descarga al equipo de la víctima, como si fuera esta aplicación.

Otro “startup” del mismo ciberdelincuente es un conjunto de dispositivos para el mining de la criptomoneda Dogecoin que supuestamente se alquila por precios muy ventajosos. Para trabajar con este conjunto no existente en realidad, supuestamente también se necesita una aplicación cliente especial que se descarga al equipo de la víctima potencial en un archivo protegido por la contraseña. La contraseña no permite a los programas antivirus analizar el contenido del archivo y borrarlo aún en la etapa de descarga. Y dentro, como es fácil de suponer, se oculta un troyano stealer.

Otro recurso de estafa creado por Investimer está dedicado a la criptomoneda Etherium. El estafador ofrece un premio a las víctimas potenciales por consultar sitios web en Internet, para lo cual a los mismos también se les ofrece instalar un programa nocivo como si fuera una aplicación especial. Luego el troyano empieza a descargarse de forma automática, al entrar un visitante en el sitio web. El ciberdelincuente hasta se preocupó de crear varias referencias falsificadas sobre el funcionamiento de este servicio.

Otro modo de estafa de red utilizado por Investimer, — es la organización de las loterías en línea, cuyo premio es un importe determinado en criptomoneda Dogecoin. Por supuesto, estas loterías están organizadas de tal forma que los participantes terceros no pueden ganarlas. Pero aun así, en el momento de redacción de este artículo en el sitio web de la lotería organizada por Investimer fueron registrados más de 5800 usuarios.

Además de la lotería, en uno de sus sitios web Investimer ofrece ganar un premio en Dogecoin por consultar las páginas web con publicidad. Este proyecto cuenta con más de 11 000 usuarios registrados.

Por supuesto, desde el sitio web del “socio” al equipo del participante del sistema, como su fuera un plugin para el navegador que permite ganar dinero por navegar en Internet, enseguida se descarga un backdoor. Luego normalmente instala un troyano stealer en el dispositivo infectado.

Investimer también se dedica al phihing tradicional. El sitio web creado por el mismo supuestamente ofrece un premio por atraer a los nuevos usuarios al sistema de pago Etherium, pero en realidad recaba la información introducida por los usuarios al registrarse y la transmite al malintencionado.

Además de los modos de ganar dinero criminal mencionados más arriba, Investimer intentaba copiar el sitio web oficial cryptobrowser.site. Los creadores del proyecto original crearon un navegador especial donde en modo de segundo plano recaba la criptodivisa mientras el usuario está consultando las páginas web. Una falsificación creada por Investimer no es de calidad: una parte de imágenes en el sitio web no se visualiza, en el texto del acuerdo de licencia se indica la dirección de correo de desarrolladores reales, y el troyano que la víctima recibe como si fuera un navegador, se descarga desde un recurso ubicado en otro dominio. En la imagen siguiente puede visualizarse un sitio web falsificado creado por Investimer (a la izquierda), comparado con el original (a la derecha).

También se detectaron otros esquemas de fraudulencia en Internet de Investimer, en particular, de los juegos online creador como una pirámide financiera. La información recabada con troyanos stealers este malintencionado la usa mayoritariamente para robar la criptomoneda y el dinero que sus víctimas almacenan en los monederos de varios sistemas de pago electrónicos. Cabe destacar que en el panel administrativo con el cual Investimer administra el acceso a los equipos hackeados, y la entrada sobre cada víctima la acompaña de comentarios malsonantes que por supuesto no podemos citar.

En general, el esquema usado por el ciberdelincuente para engañar a los usuarios de Internet es así. A la víctima potencial la asechan de varios modos al sitio web de estafa para usar el cual es necesario descargar algún programa cliente. La víctima descarga este troyano como si fuera este cliente que por comando del malintencionado instala otros programas nocivos en el equipo. Estos programas (en su mayoría, los troyanos stealers) roban la información confidencial del dispositivo infectado. Con la misma, el delincuente posteriormente roba de sus cuentas la criptomoneda y el dinero guardados en varios sistemas de pago.

Los analistas de Doctor Web opinan que el número total de usuarios víctimas de la actividad ilegal de Investimer supera 10 000 personas. El daño causado por el malintencionado a sus víctimas, según nuestros expertos, supera 23 000 USD. Además, a este importe habrá que añadir más de 182 000 en criptomoneda Dogecoin, o, según la tasa de cambio de hoy, unos 900 USD.

Las direcciones de todos los sitios web creados por Investimer fueron añadidas a las bases de Dr.Web SpIDer Gate, todos los programas nocivos usados por el mismo se detectan y se eliminan correctamente por nuestro Antivirus.

Un listado completo de indicadores de compromiso puede consultarse en el enlace siguiente https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.

#crimen #criptomoneda #mining #fraudulencia