Bitcoin

El truco de la actualización de la billetera de Bitcoin ha permitido a los criminales ganar más de 22 millones de dólares.

Las bandas criminales están enviando actualizaciones falsas a los propietarios de las carteras de Electrum, instalando malware y robando los fondos de los usuarios.

Una simple técnica ha ayudado a las bandas de cibercrímenes a robar más de 22 millones de dólares en fondos de usuarios de la aplicación de la cartera Electrum; una investigación de ZDNet ha descubierto.

Esta técnica en particular fue vista por primera vez en diciembre de 2018. Desde entonces, el patrón de ataque ha sido reutilizado en múltiples campañas durante los últimos dos años.

ZDNet ha rastreado múltiples cuentas de Bitcoin donde los criminales han reunido fondos robados de ataques que llevaron a cabo en el transcurso de 2019 y 2020, con algunos ataques que tuvieron lugar tan recientemente como el mes pasado, en septiembre de 2020.

Los informes de las víctimas enviados a los portales de abuso de Bitcoin revelan la misma historia.

Los usuarios de la aplicación Electrum Bitcoin wallet recibieron una solicitud de actualización inesperada a través de un mensaje emergente, actualizaron su cartera, y los fondos fueron inmediatamente robados y enviados a la cuenta Bitcoin de un atacante.

Mirando cómo los ciberdelincuentes están robando fondos, esta técnica funciona debido al funcionamiento interno de la aplicación de cartera Electrum y su infraestructura de backend.

Para procesar cualquier transacción, las carteras Electrum están diseñadas para conectarse a la cadena de bloqueo de Bitcoin a través de una red de servidores Electrum – conocida como ElectrumX.

Sin embargo, mientras que algunas aplicaciones de billetera controlan quién puede manejar estos servidores, las cosas son diferentes en el ecosistema abierto de Electrum, donde todos pueden configurar un servidor de puerta de enlace ElectrumX.

Desde 2018, las bandas de ciberdelincuentes han estado abusando de esta laguna jurídica para hacer girar los servidores maliciosos y esperar a que los usuarios se conecten al azar a sus sistemas.

Cuando esto sucede, los atacantes instruyen al servidor para que muestre un popup en la pantalla del usuario, instruyendo al usuario para que acceda a un URL y descargue e instale una actualización de la aplicación de la billetera Electrum.

Normalmente, este enlace de descarga de actualizaciones no es para el sitio web oficial de Electrum, localizado en electrum.org, sino para buscar dominios similares o repositorios GitHub.

Si los usuarios no prestan atención al URL, eventualmente terminan instalando una versión maliciosa de la billetera Electrum, la cual la próxima vez que el usuario trate de usar pedirá un código de acceso de una sola vez (OTP).

Normalmente, estos códigos sólo se solicitan antes de enviar los fondos, y no al inicio de la cartera Electrum. Si los usuarios ingresan el código solicitado -y la mayoría lo hace, pensando que están usando la billetera oficial- efectivamente dan aprobación oficial para que la billetera maliciosa transfiera todos sus fondos a la cuenta de un atacante.

Desde diciembre de 2018, los usuarios han reportado alrededor de diez cuentas de Bitcoin que están siendo utilizadas en lo que actualmente se conoce como la „falsa estafa de la actualización de Electrum“.

Estas carteras actualmente contienen 1980 bitcoin, que es aproximadamente un poco más de 22 millones de dólares en moneda corriente. Teniendo en cuenta los 202 bitcoin robados en nuestro informe original de diciembre de 2018, esto lleva el total a más de 24,6 millones de dólares robados con una simple técnica.

Sin embargo, hay que decir que una gran parte de estos fondos parecen haber sido robados en un solo incidente en agosto, cuando un usuario informó de la pérdida de 1.400 bitcoin (~ 15,8 millones de dólares) después de actualizar una cartera Electrum.

Desde que esta técnica fue vista por primera vez a finales de 2018, el equipo de Electrum ha tomado varias medidas para mitigar este ataque.

Primero implementaron un sistema de lista negra de servidores en los servidores Electrum X para bloquear adiciones maliciosas a sus redes, y también agregaron una actualización que evita que los servidores muestren a los usuarios finales ventanas emergentes con formato HTML.

Sin embargo, un servidor malicioso usualmente se desliza a través de las grietas aquí y allá, y el ataque todavía funciona muy bien para los usuarios de Bitcoin que todavía usan versiones antiguas de la aplicación de cartera Electrum para administrar fondos.