Check Point Research detectó una variante de botnet que ha robado casi medio millón de dólares en criptodivisas a través de una técnica llamada crypto clipping. La nueva variante, llamada Twizt y descendiente de Phorpiex, roba las criptomonedas durante las transacciones sustituyendo automáticamente la dirección de la cartera de víctima por la del ciberdelincuente.
Los investigadores advierten a los inversores en criptodivisas que tengan cuidado con los destinatarios de los fondos, ya que se han interceptado 969 transacciones y se están multiplicando. Twizt puede operar sin servidores de C&C activos, lo que le permite evadir los mecanismos de seguridad.
En el plazo de un año, entre noviembre de 2020 y noviembre de 2021, los bots de Phorpiex robaron 3,64 Bitcoin, 55,87 Ether y 55.000 dólares en tokens ERC20. El valor de los activos robados en precios actuales es de casi medio millón de dólares estadounidenses.
La nueva variante de Phorpiex entraña tres riesgos principales. En primer lugar, Twizt utiliza el modelo peer-to-peer y es capaz de recibir comandos y actualizaciones de miles de otros equipos infectados. Una red de bots peer-to-peer es más difícil de derribar e interrumpir su funcionamiento. Esto hace que sea más estable que las versiones anteriores de los bots Phorpiex.
En segundo lugar, al igual que las antiguas versiones, es capaz de robar criptografía sin necesidad de comunicarse con el C&C, por lo que es más fácil evadir los mecanismos de seguridad, como los cortafuegos. En tercer lugar, es compatible con más de 30 carteras de criptodivisas de diferentes Blockchain, lo que pone a su disposición una enorme superficie de ataque.
“Pedimos los usuarios de criptomonedas que comprueben dos veces las direcciones de las carteras que copian y pegan, ya que podrían estar enviando inadvertidamente su cripto a las manos equivocadas”, concluye Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Fuente: Check Point Software