Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Ha sido comprometido el código publicado por Hola VPN en Chrome Web Store añadiendo capacidades para el robo de la clave privada del monedero para la criptomoneda Ethereum MyEtherWallet.
 
 
Según informan en el canal de Twitter del MyEtherWallet, el código fraudulento ha estado disponible 5 horas. Durante esas 5 horas todos los usuarios de Hola VPN que hayan accedido a la web de MyEtherWallet han sufrido el robo de la clave privada de su “wallet” por lo que lo más seguro es que su cartera haya sido sustraída. Es importante conocer que las extensiones de Google Chrome se actualizan automáticamente.
 
Cabe la posibilidad de que el atacante no haya transferido los fondos por lo que lo más recomendable sería que se transfirieran los ETH posiblementes sustraídos a otro wallet alternativo para evitar que el atacante pueda hacerse con el control de ellos.
 
El tema de las extensiones del navegador representa un punto bastante serio en seguridad, las posibilidades que ofrece a un atacante hacerse con el control de una extensión con capacidad de modificar e interactuar con cualquier web que el usuario renderice en su navegador, abre las puertas a los atacantes a usarlas para el robo de casi cualquier credencial electrónica.
 
En este caso ha sido un monedero de Ethereum pero podría haber sido la web de un banco, la cuenta de Netflix o los credenciales de acceso a las cámaras de seguridad de su casa.
Más información:
 

Se propaga una versión maliciosa del software Ammy Admin

Durante los días 13 y 14 de julio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso.

Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.

Este malware tenía dos objetivos principales:

1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:

  • pass.txt
  • passwords.txt
  • wallet.dat
  • bitcoin

2. Reportar procesos que incluyan alguna de las siguientes características:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection

Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.

Instaladores:
Servicio:
No es la primera noticia de las que hemos hablado en Una al día sobre alteración de un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:
Malware hallado en el repositorio AUR de Arch Linux
Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Desde Hispasec recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.

Más información:
 
Web oficial de Ammy Admin: